Познаю дзен путем написания стильно-модно-молодежного пет проекта: REST backend (Spring MVC) общается посредством JSON с frontend (Angular + Spring MVC). Собственно возникла задача как организовать безопасный доступ к REST API. Вот здесь я и наткнулся на JWT. Сначала идея мне понравилась, да и с реализацией проблем нет.

Но погуглив, например http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/, у меня появились сомнения насчет безопасности. Как мне кажется, в плане подмены части токена проблем возникнуть не должно. Но вот как быть с угоном токена? В таком случае выходит, что угнанным токеном можно будет пользоваться бесконечно до тех пор, пока кто-то вручную не подкрутит backend? Плюс для удобства токен придется хранить на клиенте, то есть вытащить его можно довольно тривиально через js.

Поделитесь опытом, как это реализуют по-честному, без самописных свистоплясок. Или у меня паранойя и ящериков с масонами на самом деле не существует?

Спасибо всем за ответы. Попробую конкретизировать для того, чтобы избежать обсуждения авторизации в целом. У меня один backend и один frontend(оба под моим контролем, но frontend может быть и сторонний), я не планирую SSO для целого зоопарка. Я бы хотел разобраться именно с JWT. Если с этой идеей не сложится, то уже буду смотреть в сторону OAuth2. Или OAuth2 по сути уже стандарт, а JWT никто не использует?

Пока я остановился именно на "длинных" токенах, и у меня есть expiration time поле. Наверное здесь и кроется главный вопрос. Удобство против безопасности. Как должен быть реализован механизм refreshToken ? С одной стороны, если токен живет час, то юзера выкинет на страницу логина даже если он только что тыкал в UI. Это очень неудобно в 21 веке. Если же мы будем делать refreshToken каждый раз, когда пришел валидный токен с истекшим expiration time, то этим токеном можно пользоваться бесконечно. И конечно мне нравится идея не лезть в БД для валидации токена при каждом реквесте.