Один из подходов здесь - поддерживать черный список отозванных токенов JWT. Если доступ пользователя должен быть аннулирован в момент, когда заявка exp в его токене еще не истекла, администратор затем добавил бы свой JWT в кеш. Это также означает, что часть процесса авторизации и / или аутентификации теперь будет включать в себя попадание в этот черный список, чтобы убедиться, что любой входящий JWT еще не был отозван. Однако, если вы правильно структурируете вещи, штраф за попадание в кеш будет небольшим (примерно 1/100 штраф за попадание в базу данных).
Этот черный список может также использоваться для хранения JWT пользователей, которыеподписались с действующими токенами. Опять же, это сценарий, когда пользователь логически вышел из системы, но утверждение exp в его токене все еще говорит, что JWT жив. Добавление JWT в тот же кэш черного списка является одним из способов обработки этого варианта использования.