70 多条评论看完了，说句实在话，楼主的问题是 JWT token 被获取后引发的一系列安全问题，我们以问题为导向进行反推，获取 token 必定存在一系列利益影响，试问，如果你的软件没有引发别人的利益，为何要获取你的 token 呢？ 难道只是闲的无聊？ 那么问题又来了，有利益存在，获取你的 token 进行下一步操作，是为了满足某个利益达成。如果没有利益别人也要获取你的 token，那基本上是无解，说的清楚点就是没有绝对的安全可言，token 只是一个签名用来校验你的服务的，仅仅是对自己的服务来说有一定安全校验，也只是达到了自己骗自己的目的，我可以第一时间获取你的 token 并解密后通过 token 解析的信息进行一系列的操作，这些都是可以反推的。

@tianzi123 可能跟 3 楼说的一样，个人服务器被做跳板了，至于域名这些通过 IP 反查也能找到，只是对我的 IP 进行扫描，然后发现我的服务器有很多攻击行为，这点是我没想到的

@777777 有可能是被做跳板了，后门在哪检查？ 我刚把服务器关闭了

公钥和私钥一般是看算法的，如果是 RS256 非对称加密，就需要配置证书+ 公钥

@LexLuth0r 单点登录不是遵循 oAuth 协议吗？

读者在乎的是博客内容是否更具有深度，是否能帮助到读者，跟主题收费与否，好看与否没有任何关系

误触...话还没说完就留言发送了... 前段时间我 leader 也是给我分配了一个类似全局搜索的功能，当时我想的是使用 ES 进行全局处理，当时 leader 只是问我懂不懂 ES，我含糊的回答懂一丁点，结果 leader 说懂就好，就怕你不懂......就这样被自己坑了，其实也不能算入坑，毕竟多个技术难点会让自己进步的更多更快，最开始也是网上寻找各种 demo，然后搜索了 10 分钟后，我直接询问同事了，有同事做过，再加以指导我想这样提升也是最快的，任务完成度也是最高的，只不过没有像楼主这样使用 canal 同步，有了同事的指导，基本半天也就完成了所有的 ES 搜索步骤，我只能说楼主担忧的，我们开发人员都会遇到，遇到困难的技术，特别是不太了解的技术，花时间学习的同时还要高质量完成，这个是非常考验心态的，特别是在开发中还会一直催进度，根本没办法高质量的完成，也希望楼主和大家都能平复心态的去开发，冷静的思考高效的完成