请原谅我对 jwt 令牌的了解有限
我正在构建一个移动应用程序并通过手机短信对用户进行身份验证。身份验证后,我的 rest api 返回一个有效期很长(30 天)的 jwt 令牌。
为了防止黑客窃取令牌并使用它,我打算将加密的设备ID附加到我的令牌上。对我的 rest api 的每个后续请求都需要承载令牌和设备 ID。如果设备 ID 与声明中的不匹配,则令牌将被拒绝。
刷新令牌是一个很好的机制,我只是在寻找一个替代方案。询问社区专家他们是否认为这种方法足够安全。
谢谢