Отменить токен jwt непросто, стандартного способа отзыва токенов доступа не существует, если только Сервер авторизации не реализует пользовательскую логику, которая заставляет вас сохранять сгенерированный токен доступа в базе данных и проверять базу данных с каждым запросом.
Простым способом является использование краткосрочных токенов доступа и токена обновления, использование токена обновления для обновления токена доступа, если вы хотите отозвать пользователя, отзыв токена обновления на стороне сервера, сброс токена обновления и токена доступа на стороне клиента. .
Другой способ - ссылочные токены. Основная идея заключается в том, что Сервер авторизации будет хранить содержимое токена в хранилище данных и будет выдавать только уникальный идентификатор для этого токена обратно клиенту. API, получающий эту ссылку, должен затем открыть связь по обратному каналу с сервером авторизации для проверки токена, чтобы сторона сервера могла контролировать, доступен ли эталонный токен (уникальный идентификатор). Сервер идентификации 4 также обеспечивает лексемы функции справки:
http://docs.identityserver.io/en/latest/topics/reference_tokens.html