预防阶段

1. 签名算法改进
   • 选择安全的签名算法：推荐使用RS256（RSA with SHA - 256）或ES256（ECDSA with SHA - 256）等经过广泛验证的签名算法。例如，RS256利用RSA密钥对JWT进行签名，公钥用于验证签名，私钥用于生成签名，其安全性基于大整数分解难题。
   • 定期更新密钥：服务端定期更新JWT签名所使用的密钥。例如，每月或每季度更新一次密钥，新密钥生成后，逐渐过渡使用新密钥签名新的JWT，同时旧密钥在一定时间内仍可用于验证旧的JWT，确保平滑过渡。
2. 增加防重放机制
   • 使用随机数（Nonce）：在JWT的payload中添加一个唯一的随机数（Nonce）字段。设备端生成一个随机数，在请求时将其放入JWT的payload中，服务端接收到JWT后，将该Nonce记录到一个缓存（如Redis）中，并设置一个过期时间（例如10分钟）。每次收到JWT时，检查缓存中是否已存在该Nonce，若存在则判定为重放攻击，拒绝该请求。
   • 时间戳（Timestamp）：在JWT的payload中添加当前时间戳字段。服务端设置一个合理的时间窗口（例如5分钟），接收到JWT后，验证时间戳是否在该时间窗口内。若时间戳超出时间窗口，说明JWT可能已过期或为重放攻击，拒绝该请求。

检测阶段

1. 基于统计分析的检测：服务端记录每个设备的请求频率和JWT使用情况。如果发现某个设备在短时间内使用相同JWT发起大量请求，超出正常业务逻辑的频率，可能判定为重放攻击。例如，通过设定一个阈值，如每分钟同一JWT请求超过10次，触发检测流程。
2. 分布式检测：对于大规模物联网设备，采用分布式检测机制。在每个边缘节点或网关处进行初步的重放攻击检测，如检查时间戳和Nonce。同时，将可疑的JWT发送到中心服务器进行进一步分析和关联，以检测跨区域或跨设备的重放攻击模式。

应对阶段

1. 立即阻断：一旦检测到重放攻击，服务端立即阻断来自该设备的相关请求，防止进一步的恶意操作。可以通过防火墙规则，暂时封禁该设备的IP地址一定时间（例如1小时）。
2. 通知与记录：服务端向管理员发送警报通知，详细说明检测到重放攻击的设备信息、JWT内容以及攻击发生的时间等。同时，将重放攻击事件记录到日志系统中，用于后续的安全审计和分析。
3. 恢复与更新：通知设备端需要更新JWT，设备端在接收到通知后，重新向服务端进行身份验证，获取新的JWT。服务端在设备重新认证时，可以加强认证流程，如要求提供额外的身份验证信息。

对系统性能和资源占用的影响

1. 性能影响
   • 签名算法改进：更复杂的签名算法如RS256计算量相对较大，会增加服务端签名和验证的时间。但现代硬件和优化后的库能够有效缓解这种影响，在高并发场景下，可能需要增加服务器资源（如CPU核心数）来保证性能。
   • 防重放机制：使用Nonce和时间戳验证会增加服务端的处理逻辑，每次请求都需要检查缓存（对于Nonce）和进行时间比较（对于时间戳）。然而，合理设置缓存过期时间和时间窗口，可以将这种性能影响控制在可接受范围内。例如，使用高效的缓存系统（如Redis），其查询速度快，对性能影响较小。
2. 资源占用影响
   • 签名算法改进：密钥管理需要额外的存储空间来保存密钥对，并且定期更新密钥会增加密钥生成和存储的开销。
   • 防重放机制：Nonce缓存会占用一定的内存空间，特别是在大规模设备并发请求的情况下。合理设置缓存过期时间可以有效控制内存占用。例如，根据业务流量预估，设置合适的缓存大小和过期时间，避免缓存溢出。时间戳验证相对资源占用较小，主要是进行简单的时间比较运算。