我正在创建一个JSON Web令牌:
let userId = results[0].id;
let organizationId = results[0].organization_id;
let encryptedInfo = {
userId: userId,
organizationId: organizationId,
admin: true
};
let tokenSecret = ENV.API_SECRET;
let token = jwt.sign(encryptedInfo, tokenSecret);
我的问题是,如果用户admin被移除,或者admin用户不是admin,我该怎么办?
我会将该用户tokenId列入黑名单吗?如果是这样,这是否意味着我需要开始将用户及其tokenId存储在数据库中?
此外,如果我将用户tokenId列入黑名单,为该方案创建特定错误代码是一个好习惯,如果客户端收到该错误代码,它会重新验证并获得新的token?