JWT认证中如何防止他人冒充token（防止token伪造）

这个和 JWT 没有什么关系，「JWT（Json Web Token）」是 token 的其中一种实现方式，是用来双方信任的情况下作为身份令牌的。它只能保证信息没有被篡改，无法保证信息是否被伪造、盗用。

【jwt 被盗用冒充】 和 【别人知道你的账户名和密码】 是没有什么区别的，服务端又无法确定用这个账号的是不是你。

如果是在网页传输中，现在有 HTTPS 情况下，像是中间人攻击这种通过抓包获取信息比较困难。就窃取 jwt 来说，如果是在系统储存中，那就是操作系统和应用程序的权限和安全防护问题；如果是对服务器的攻击，那就是属于服务器的漏洞了，算是另一个层面了。

所以，如果要安全，可以参考一下大家主流的登录系统方案，添加双重认证，比如手机验证码、手机令牌、邮箱验证码等等。

例如使用 Authing 提升登录过程中的安全性和便捷性。

关于安全问题，Authing 通过 可视化安全审计、多因素登录、密码管理、加密传输与存储 等方式进行保障。 它可以实现 账号密码/手机验证码/APP 扫码/小程序扫码/企业身份源/社会化登录、内置了忘记密码的交互 UI、多因素认证（MFA）功能。

而在前端的 Guard 组件能帮助你快速构建登录界面，还支持远程控制具体配置，覆盖前端主流框架。用户无需编写任何额外代码，即可使用该组件完成任务。不仅完美兼容移动端和 PC 端，还可以用 CSS 轻松自定义登录框样式。

也就是说，仅需几步就能快速接入 SDK，在前端自定义用户登录操作，在后端管理用户、组织、权限，一网打尽。

点击「链接」，立刻了解 Authing！