Прежде всего:
Раскрытие хакерами вашего алгоритма шифрования - это плохо
Нет, это не так. Никогда не пытайтесь повысить безопасность, используя нестандартные алгоритмы. Это «безопасность по неизвестности». Как гласит принцип Kerckhoffs, безопасность алгоритма должна основываться только на секретности ключа, а не на алгоритме.
Относительно реального вопроса: вы должны использовать JWT (или любой другой стандартизированный метод) вместо простого шифрования данные сеанса (которые в основном просто строят ваш собственный механизм токенов), потому что они поддерживают гораздо больше функций из коробки. Вам, вероятно, понадобится гораздо меньше времени на использование jwt, чем на реализацию и тестирование собственного решения.
Также, вероятно, существует много аспектов, связанных с безопасностью (например, атаки с использованием воспроизведения токенов и т. Д. c.), О которых вы могли не знать , Поэтому довольно сложно реализовать такую систему, которая защищена любым известным в настоящее время способом. Всегда лучше использовать проверенные и проверенные решения, если они предоставляют необходимые функции.
Дополнительная информация: https://security.stackexchange.com/questions/180208/what-is-the-difference-between-jwt-and-encrypting-some-json-manually-with-aes