Если очень легко остановить замену токена.Подтвердите свои токены.Токены подписываются закрытым ключом и проверяются открытым ключом.Очень прост в реализации и применении.
Если вместо этого вы хотите запретить пользователям заменять (заменять) действительные токены для предоставления расширенных привилегий, то отследите, кому выдан токен, и принимайте токены только от того пользователя, который был выпущен.этому пользователю.Другой метод заключается в создании приватной / публичной пары ключей для каждого пользователя при создании токенов.Тогда пользователи не смогут поменять токены, так как открытый ключ будет другим, и проверка подписи завершится неудачей.
Токены должны иметь короткое время жизни (минуты).По истечении срока действия токены либо обновляются, либо повторно авторизируются.Вы определяете политику и срок действия.
Все, что я упомянул, является общеизвестным в Интернете с большим количеством примеров практически на всех распространенных языках.