Matt Way在这篇文章中的回答:Invalidating JSON Web Tokens
关于使用令牌黑名单的第二种解决方案,但是我有一个问题,即服务器如何准确知道旧令牌并将其添加到黑名单中。例如:登录时,我从服务器收到“ ABCD”令牌,服务器不会在任何地方保留此令牌。然后,我更改密码(或注销),服务器应向我发送一个新令牌,例如“ EFGH”,并使旧的“ ABCD”无效(通过将“ ABCD”添加到黑名单直到到期),但是问题是服务器如何知道“ ABCD” “要添加到黑名单的旧令牌?
答案 0 :(得分:0)
要执行与帐户相关的操作,在连接处生成的JWT令牌必须存在于请求的标头中(通常在Authorization标头中)。
客户端将存储令牌,并在需要时将其发送给服务器以对其进行身份验证。
仅保留服务器检索标头中存在的令牌以使其无效并在必要时将其列入黑名单的情况。