1回答

bobby

2021-03-17

已采纳

其实要完美地失效JWT是没办法做到的。

"Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token."
这篇文章写得比较简单易懂：https://medium.com/devgorilla/how-to-log-out-when-using-jwt-a8c7823e8a6

有以下几个方法可以做到失效 JWT token：

    1. 将 token 存入 DB（如 Redis）中，失效则删除；但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤，而且违背了 JWT 的无状态原则（这不就和 session 一样了么？）。

    2. 维护一个 token 黑名单，失效则加入黑名单中。

    3. 在 JWT 中增加一个版本号字段，失效则改变该版本号。

    4. 在服务端设置加密的 key 时，为每个用户生成唯一的 key，失效则改变该 key

0

0