Além de preferir usar https, o que mais eu poderia fazer para evitar isso?

Pra quem não sabe, session hijacking, se resume á roubar o cookie que verifica a sessão do usuário, e utiliza-lo para fazer login no site, sem nem mesmo ter que passar pelo formulário de login.

Na primeira versão do sistema de login que eu criei, após a validação dos dados, cria-se um cookie que guardava apenas o valor do id do usuário logado no banco de dados. E não demorou muito para eu perceber que se substituísse o valor do cookie para qualquer número, após recarregar a página, você já teria invadido a conta de alguém aleatório…

Então eu dei uma tunada nesse sistema, e usei o jwt, para criar um token e criptografar o id do usuário, e a hash da senha, assim, se alguém for criar um token manualmente, ele precisaria saber a hash da senha da vítima.

Mas não sei se isso é o suficiente, ou é?

Se alguém souber o que eu poderia fazer, fala aí nos comentários por favor, é para o meu TCC :(