Estou trabalhando com tokens no meu projeto e utilizei o modulo crypto do nodejs para gerar um hash unico e armazeno esse token em uma tabela no banco de dados postgres, e tambem tenho uma função que verifica nas requisições se o token ainda está no prazo de validade. Quando o usuário faz login o token é criado e armazenado nos cookies do navegador, estava tentando aprender como proteger esse cookie, visto que se alguém rouba-lo e ele ainda for valido, a sujeito pode se passar pelo usuário mesmo sem fazer login, caso ele tenha injetado esse token nos cookies dele.