1. StackOverflow 文档
  2. jwt 教程
  3. 使 Json Web 令牌无效
  4. 令牌黑名单

令牌黑名单

Created: November-22, 2018

标记无效令牌,存储到其到期时间并在每个请求中进行检查。

黑名单打破了 JWT 无国籍状态,因为它需要维持状态。JWT 的一个好处是不需要服务器存储,因此如果你需要在不等待过期的情况下撤销令牌,请考虑下行

管理黑名单

黑名单可以在你自己的服务/数据库中轻松管理。存储大小可能不会很大,因为它只需要存储在注销和到期时间之间的令牌。

包括完整令牌或仅包含唯一 ID jti。设置 iat(发布时间)以删除旧令牌。

要在更新用户关键数据(密码,权限等)后撤消所有令牌,请在 currentTime - maxExpiryTime < last iss 时使用 subiat 设置新条目。当 currentTime - maxExpiryTime > lastModified(不再发送未过期的令牌)时,可以丢弃该条目。