与基于会话的身份验证相比,JWT身份验证在分布式系统中实现的麻烦更少。使用传统的会话身份验证,您将需要共享缓存(这是单点故障)或分布式缓存(具有自己的一组复杂性)。
为了例如“注销”用户,不会添加撤销服务(例如令牌黑名单),会引入上述会话身份验证的相同麻烦吗?
答案 0 :(得分:1)
是的,它会的。添加黑名单会导致您失去JWT的一些优势,例如不需要服务器空间,除非您使用具有多个服务器的缓存,否则您将需要复制机制。
但是,允许令牌过期而不是使用黑名单并设置较小的刷新时间是一种常见的假设。
查看here以查看使令牌无效的常用技巧