Về mặt an toàn thì người phân tích nghiệp vụ, dev.... phải luôn luôn nói với mình rằng dữ liệu lưu ở trên client không bao giờ là an toàn, nó hoàn toàn có thể bị ăn cắp bởi hacker.. (Đến dữ liệu lưu trên server nhiều khi còn bị lộ nữa cơ mà)

Còn cách thức phòng, giảm rủi do thì có nhiều cách.

• Xác định một JWT cho một IP, nếu JWT được sử dụng bởi 1 IP khác thì sẽ không được chấp nhận.
• Trên web thì đặt token lưu trữ ở cookies để tự động gửi lên bởi trình duyệt. Đặt cookie đó require https và sẽ nó là secure để không được đọc bởi js.
• Trên điện thoại thì chặn root hoặc tạo VM ảo, tự xây dựng ngôn ngữ. để lữu trữ, mã hóa token này.
• Tạo một token phụ mapping với JWT. Token phụ này lưu trữ trên server. Token này sẽ xác định vù JWT chưa hết hạn nhưng nó còn có thể được sử dụng hay không. Tùy logic sẽ kiểm tra thêm token phụ này nữa (Nên nhớ là tùy logic nghiệp vụ và độ bảo mật nhé, vì kiểm tra nhiều sẽ tốn tài nguyên call lên DB)
  • Ví dụ với API đọc thì kiểm tra JWT thôi, nhưng nếu là API viết thì kiểm tra token mapping JWT để xem còn được sử dụng hay không.

Đây là 1 số cách xưa mình phát triển service authen mình đã triển khai.