主要使用JWT的无状态身份验证真的安全吗？

我已经实现了一个无状态服务器，它使用JWT让用户访问api。我关心的是安全问题。之前也有同样的问题，但没有得到很好的回答：JWT、无状态身份验证和安全性 问题：使用一些因素，如JWE（加密令牌）或使用强秘密来签署令牌 如果秘密钥匙被盗怎么办？然后，无论我们使用了多少安全层，黑客都可以使用密钥生成有效令牌并访问所有API。是否有任何解决方案使其更安全？

我试图理解为什么JWT认证是无状态的。在有状态认证中，会有一个会话id。这里有一张JWT的代币，上面有签名。所以身份验证服务器发布JWT令牌，但是我可以说后续请求中JWT令牌的验证是由endpoint服务器(应用服务器)而不是身份验证服务器来完成的吗？我相信这是可能的，因为JWT是用截止日期(还有一些其他信息)签名的，并且认证服务器的公共证书对所有endpoint服务器都是可用的。 因此，认证服务

我正在使用SpringBoot开发具有微服务架构的Rest Backend。为了保护endpoint，我使用了JWT令牌机制。我正在使用Zuul API网关。 如果请求需要权限（来自JWT的角色），它将被转发到正确的微服务。Zuul api网关的“WebSecurityConfigrerAdapter”如下。 这样，我必须在这个类中编写每个请求授权部分。因此，我希望使用方法级安全性，即“Enabl

我正在开发一个具有自己的身份验证和授权机制的REST应用程序。我想使用JSON Web Tokens进行身份验证。以下是有效且安全的实现吗？ < li >将开发一个REST API来接受用户名和密码并进行认证。要使用的HTTP方法是POST，因此没有缓存。此外，在传输时还会有安全SSL < li >在认证时，将创建两个JWTs访问令牌和刷新令牌。刷新令牌将具有更长的有效期。这两个令牌都将写入coo

我引用的是另一篇讨论在JWT中使用刷新令牌的SO帖子。 JWT（JSON Web令牌）自动延长到期时间 我有一个应用程序，它具有一个非常通用的体系结构，在这个体系结构中，我的客户机（web和移动）与一个REST API对话，然后再与一个服务层和数据层对话。 令牌每小时由客户端刷新一次。 如果用户令牌未被刷新（用户处于非活动状态且应用程序未打开）并且过期，则无论何时他们想要恢复，都需要登录。 我看到

我正在使用Spring Boot的最新版本，并且正在尝试设置StatelessAuthenticaion。到目前为止，我一直在读的教程非常模糊，我不确定我做错了什么。我使用的教程是... http://technicalrex.com/2015/02/20/Stateless-Authentication-with-spring-security-and-jwt/ code>TokenAuthen