我想知道在更改密码/注销时不使用db而使JWT无效的最佳实践.
我有以下想法通过点击用户数据库处理上述2个案例.
1.密码更改,我检查存储在用户db中的密码(散列).
2.注销时,我在用户数据库中保存了最后注销时间,因此通过比较令牌创建时间和注销时间,我可以使这种情况无效.
但是这两种情况是以每次用户点击api时命中用户数据库为代价的.任何最佳实践表示赞赏.
更新: 我不认为我们能够在没有命中数据库的情况下使JWT无效.所以我想出了一个解决方案.我已经发布了我的答案,如果您有任何疑虑,欢迎您.
javascript token auth-token node.js jwt
auth-token ×1
javascript ×1
jwt ×1
node.js ×1
token ×1