Срок действия токена JWT при выходе из системы при загрузке весной

Question

Как я могу сделать недействительным токен JWT, когда пользователь выходит из системы. Я искал по сети, но не смог найти какую-либо хорошую реализацию. Пожалуйста, помогите в достижении той же функции.

Answer 1

Один из вариантов - просто иметь таблицу bannedUsers.Вы могли бы даже кешировать эту таблицу.Если учетная запись пользователя будет взломана, вы можете просто добавить их в таблицу, пока не истечет срок действия их токена.Это будет поиск каждый раз (если не кэширован), но, скорее всего, в таблице всегда будет 0 записей, поэтому это будет очень быстро.

Answer 2

Вы не смогли найти способ «истечь» JWT, потому что такого способа нет.Можно сказать, что это недостаток JWT.

. Если token скомпрометирован, то это огромная проблема.Возможно, вы захотите рассмотреть другой механизм аутентификации, если вам нужно аннулировать токены / сеансы.

Единственный способ «аннулировать» такой токен - это использовать другой ключ secret на бэкэнде - что, очевидно, является исключительноужасная идея!

Однако, если вы ищете способ «выйти» из интерфейса пользователя, просто удалите JWT из хранилища.(Тем не менее, если этот пользователь скопировал токен, он сможет выполнять запросы против остальных API).