大多数JWT(JSON Web令牌)教程(例如:this和this)都表示,验证后,您可以使用传入令牌获取客户端信息,而无需从数据库验证它。JSON Web令牌到期
我的问题是,用户情况如何保持无效呢?我的意思是,可以说一个客户刚刚得到一个在一周内到期的JWT令牌。但出于非常具体的原因,可以说我们决定让用户无效,并且不希望用户访问我们的API。但仍然该用户有一个有效的令牌,用户可以访问该API。
当然,如果我们为每个请求往返DB,那么我们可以验证该帐户是有效还是无效。我的问题是,对于长寿命的令牌来说,处理这种情况的最好方法是什么?
在此先感谢。
你可以有一个端点来撤销访问令牌,但我的问题是你如何知道撤销哪个访问令牌?由于我们没有前往数据库。 –