JSON Web Token（JWT）

拥有JWT是身份验证的证明。偷走令牌的攻击者可以冒充用户。
因此，要保护好令牌：
- 使用TLS通道 - 根据存储类型添加额外的安全措施。Cookie容易受到CSRF攻击。如果不需要从JavaScript访问令牌，请使用HttpOnly。LocalStorage容易受到XSS攻击。 - 对身份验证令牌设置短暂的过期时间，并在令牌过期时要求重新输入凭据。
黑名单不起作用，因为您不会知道JWT是否被盗。而且它的使用会破坏JWT的无状态性，这是JWT的优点之一。
此外，可以将IP添加到令牌中，但考虑使用场景，因为在移动设备或代理后面的系统上可能会有问题。

在客户端，您需要构建JWT，例如：

byte[] key = getSignatureKey();

String jwt = Jwts.builder().setIssuer("myTestApplication")
    .setSubject("myTest")
    .setExpiration(expirationDate)
    .put("scope", "testing") 
    .signWith(SignatureAlgorithm.HS256, key)
    .compact();

在服务器端，您可以验证JWT与密钥和过期日期exp（以及更多信息，例如创建日期、发行者iss、受众aud）相关。

String subject = "notMyToken";
try {
    Jws jwtClaims = Jwts.parser().setSigningKey(key).parseClaimsJws(jwt);

    subject = claims.getBody().getSubject();

    //OK, we can trust this JWT
} catch (SignatureException e) {
    //don't trust the JWT!
}

使用SSL可以避免窃取JWT，但如果JWT被盗了，就存在重放此JWT的风险 - 是的，这就是jti发挥作用的地方。

jti(JWT ID)声明为JWT提供唯一标识符。标识符值必须以确保将同一值意外分配给其他数据对象的概率可忽略的方式分配； 如果应用程序使用多个发行者，则还必须在由不同发行者产生的值之间防止碰撞。 jti声明可用于防止重放JWT。 jti值是区分大小写的字符串。使用此声明是可选的。

有了这个标识符，您可以识别是否已经发送了此ID（必须在服务器端黑名单上列出它，从某种程度上破坏了JWT的本质）。因为应该使用过期日期，所以如果过期日期导致SignatureException，就可以清除这些ID。
然而，如果“黑客”从数据库中窃取了JWT，就像您在问题中所写的那样，可能会遇到除了被盗的JWT之外的其他问题，因为攻击者也可能窃取其他数据等。
希望这对您有所帮助。