标签: java authentication jwt
我正在为我的Spring Boot应用程序使用JWT身份验证。前端将是一个单页面应用程序。
我应该在服务器端处理注销功能吗?据我所知,除非我们有一个有状态服务器(在令牌的最长生命周期内存储已注销的令牌),否则无法使JWT令牌无效。
SPA每次在其标题中发出请求时都会传递JWT令牌,当用户访问/logout而不调用服务器时,它可以从localStorge中删除它。
/logout
有哪些潜在问题?这个想法是否在其他地方使用?什么是最佳做法?