标签: authentication jwt
我知道这里的相关讨论:Invalidating JSON Web Tokens,但是在某些用例中,令牌是未知的。
如果管理员删除用户或更改用户权限,则管理员不知道用户拥有什么令牌。我们需要保留一个数据库,其中包含所有已发布的活动令牌及其关联的用户。那么,JWT与任何简单的身份验证令牌(它可以对数据进行编码,是的,还有其他什么)相比有什么意义?
或者即使对于已删除的用户,令牌也应保持有效,后端应始终检查用户是否存在以及其拥有的权限。
第二种选择是解决此问题的正确方法吗?