この質問は新しいものではなく、おそらくすでにインターネット全体で議論されていることを私は知っています.
私はそれに慣れていませんが、いくつかの調査の結果、匿名はトークンを盗聴できますが、それに何も追加できないため、安全であることに同意します。JWT を HTML5Storage に保存し、ペイロードをデコードして機密情報 (DisplayName、email_address、role_info など) を取得する予定です。
これが私の質問です。匿名で私の JWT トークンを盗聴し、私の代わりに行動することはできますか? それが可能な場合、どうすればそれを回避できますか?
要するに、JWT 自体は安全ではなく、単なるクリア テキストです。基本的には、JWT は情報を定義する方法の標準プロトコルであり、当事者間で渡されるクレームとしても知られています。JWS(署名)とJWE(暗号化)と組み合わせることで安全になります。これに関する重要なトピックは JOSE - Javascript Object Signing and Encryption です。参照すべき RFC 自体を読むこと以外にも、検索能力を明白に述べたり侮辱したりすることなく、オンラインで大量の情報があります。http://jose.readthedocs.io/en/latest/を確認してください(RFC への参照リンクが含まれています)
したがって、飛行中(有線)および保存中(つまりデータベース)に業界の安全な標準で署名および暗号化されている場合、あなたの質問に答えるには、はい、それは安全です.
なりすましに関しては、セッションジャッキングやトークンジャッキングの領域で事前に注意する必要があり、レインボーテーブルなどに対する防止が必要です。
JOSE は、どのような標準であっても、実際には単なる標準です。あなたが本当に求めているのは、セキュリティ対策のベスト プラクティスについてです。OWASP も参照する必要があります https://www.owasp.org/
それはあなたの質問を明確にするのに役立ちますか?