Мне известно о соответствующем обсуждении здесь: Аннулирование веб-токенов JSON , но в некоторых случаях использование токена будет неизвестно.
Если администратор удаляет пользователя или изменяет разрешения дляПользователь, администратор не знает, что есть у пользователя.Нам нужно было бы вести базу данных всех выпущенных активных токенов и связанных с ними пользователей.Тогда какой смысл JWT против любого простого токена аутентификации (он может кодировать данные, да что угодно)?
или , если токен останется действительным даже для удаленного пользователя , а бэкэнд долженвсегда проверяйте, существует ли пользователь и какие у него есть права доступа.
Является ли второй вариант правильным подходом к этому?