标签: jwt invalidation
我的应用程序仅允许用户一次登录一台设备。我想使用JWT。
是否可以在我以外的其他设备上使其他JWT无效?不在DB /缓存中存储额外信息(例如,存储活动用户的JWT)。
答案 0 :(得分:0)
经过数周的调查和尝试,我确认没有DB无法使其他JWT失效。最终的解决方案是将每个JWT存储在DB(Redis)中。验证JWT时,不仅要检查令牌本身,还要检查它是否存在于DB