问题陈述: -
当用户想要从移动设备注销时,强制到期JWT .
问题: -
由于JWT没有存储在任何数据库中(因为这样做会破坏JWT的整个目的)强制使JWT令牌过期的正确方法是什么?
当我通过各种答案阅读时,我意识到JWT无法手动过期(这是我想要实现的)
根据JWT,它只有在达到令牌中设置的到期时间时才会过期 . 根据安全性,这很糟糕 .
选项
-
当用户点击注销时,从移动应用程序中清除缓存和JWT . 但问题仍然在于JWT仍然有效 .
-
当用户点击注销时,维护列入黑名单的JWT列表,并将其与之后的每个请求进行比较 . 这违背了JWT的全部目的 . 这种方法不可扩展,执行不好 .
我不确定什么是正确的方法 .
1 回答
这里有一个类似的问题:
https://stackoverflow.com/a/23089839/6529424
正如您已经提出的那样,为解决方法提出了相同的想法 .