jwtのtoken漏洩した場合に備えてセキュリティ対策

PHPを使ってWeb APIを作っています。
使用しているJWTライブラリです。
https://github.com/firebase/php-jwt

流れは、
１.クライアント側(JavaScript）がauth apiを叩きます。
２.ログイン成功時、username/password/expを含めたjsonを
jwtにし、クライアント側へ返します。
３.その後は他のapiを叩く際に、2のjwtを渡してもらいユーザーを特定していく流れです。

質問です。
2の時に、jsonとkey（サーバ側で定めた固定な文字列）で作られたjwtは
組み合わせが同じだと必ず生成されるjwtが同じです。
そこで、有効期限設定等したいのですが、仮にそのjwtが
第三者に漏れてしまった場合、成り済ましされる可能性があります。

このような場合どうするのが良い対応策になりますでしょうか？
どなたかアドバイス宜しくお願い致します。

行動規範の内容に同意します

回答1件

２.ログイン成功時、username/password/expを含めたjsonを
jwtにし、クライアント側へ返します。

このjwtにすべての情報が詰まっている以上，これが得られれば成り済ませてしまいます．
jwtは暗号化するわけではないので手に入れた時点でjsonの中身(username,password,exp)が知れるわけです．
サーバから返す際に，passwordを平文のまま含めるのは奨められません．
jwtにはusername,expを含ませますが，passwordは入れないべきです．

クライアントはusername, passwordをサーバに送信
サーバはusername, passwordによりユーザを認証，鍵を用いてjwt(username,expを含む)を発行
発行されたjwtによりapiを叩く

といった認証の方が，セキュリティは向上するでしょう．

その他，例としてGmail APIでは
username,passwordから，サーバ側で認証して認証token文字列を生成して，
そのtoken文字列を利用することでAPIを叩いて個人情報にアクセスしています．
https://developers.google.com/gmail/api/

投稿2015/10/15 04:48

退会済みユーザー

総合スコア0

退会済みユーザー

2015/10/15 04:57

タイトルが"jwtのtoken漏洩した場合に備えてセキュリティ対策"でしたが，触れていませんでした．上記の認証では，一時tokenが盗まれてしまった場合には，その有効期間内のみアクセスを許してしまいます．しかし，そのtokenにはpasswordが含まれていないため，新しいtokenを発行することはできません．データの全損は免れるでしょう．

行動規範の内容に同意します