通过在Token本身中包含权限,JWT承诺会更快/更简单。但是我的问题是:假设用户已登录,并且正在使用包含允许用户访问A和B的权限信息的JWT。 然后,管理员或其他用户进入并授予该用户查看C的权限。仍然登录。但是由于用户仍在使用旧的JWT,因此他仍然无法访问C。
这里有什么选择?将令牌列入黑名单并强制用户再次登录?还是完全忘记基于令牌的权限?
security authentication jwt
authentication ×1
jwt ×1
security ×1