由于JWT是自包含的,因此可以用于无状态身份验证。如果我们想要撤销令牌,那么我们需要在memcache中的数据库中查找某个地方。但那是反对无国籍的。
那么,JWT只能在我们需要无状态且不需要撤销令牌的情况下使用吗?
答案 0 :(得分:2)
您可以更新数据库中的用户记录以禁止某人完全登录(从而告诉您的应用忽略用户的令牌),但我不认为那里有#sa; sa从用户那里撤销个人令牌的方式(除非你给你的令牌提供了个人身份证并将数据存储在你的数据库中 - 但正如你所指出的那样,这似乎在很大程度上打败了JWT的点。) / p>
<强>更新
本文讨论JWT撤销(以及其他一些来源的链接): https://dadario.com.br/revoking-json-web-tokens/