Обычный пользователь входит в систему с именем пользователя / паролем (или любым другим), если он успешно вошел в систему, то сервер вернет токен jwt, который он может использовать для других запросов.
Так что jwt уже должен быть безопасным (если только не прошедшие проверку пользователи не могут войти в личный кабинет, но тогда вам нужно решить еще одну проблему).
Если вы не хотите, чтобы jwt был виден в вашем js-коде, вы можете сохранить токен в сеансе сервера, а затем выполнить ajax-вызов для получения токена в псевдокоде:
$.ajax({
type: "POST",
url: "/myscript.php",
data: {action : "GetToken"},
dataType: "json",
success: function(token){
// now you can do whatever you want with the token, if any.
},
error: function(){
}
}
.php
<php
if isset($_POST["action"] && $_POST["action"] == "GetToken"){
echo $_SESSION["userToken"];
}
?>
Очевидно, что вы должны сохранить токен в $_SESSION при его создании.