Как скрыть токен доступа jwt?

Мое приложение должно скрывать токен доступа от пользователей, которые используют приложение, как я могу это сделать?

Я использую Express.js для API …

Теперь я могу при входе генерировать токен следующим образом:

var userInstance;

app.post("/login/user" ,function(req,res) {
var cred = _.pick(req.body, "email", "password");

db.user.loginAuth(cred.email, cred.password)
.then(function (user) {
userInstance = user;
return db.token.create({
token: user.generateToken("auth")
});

})
.then(function(token) {
res.send({
token: token.token,
user: userInstance
});
})
.catch(function() {
res.status(401).send();
});});

Мне нужно создать, например, PHP-скрипт, который будет использовать API и токен не будет скомпрометирован