【发布时间】:2018-12-18 17:17:24
【问题描述】:
我是 JWT 的新手,想知道当用户退出应用程序时是否可以在服务器端使 JWT 无效/无效(我还想知道这样做是否有意义!) .想法是:
- 用户在其应用中点击退出链接
- 应用程序调用 POST https://api.myapp.example.com/auth/invalidate
- JWT(它是 HTTP 请求标头中的授权/承载令牌)以某种方式无效
- 现在,没有人可以再次使用该 JWT
我不确定这是否是一种非正统的注销逻辑方法,或者即使在用户注销之后,让 JWT 仍然有效是否可以接受(我想我可以缩短 JWT 的寿命到期,例如 60 分钟或其他时间)。
再说一遍:想知道是否有可能使用 JJWT 来执行这种“无效”(如果可以,怎么做?!)以及这样做是否有意义(如果没有,典型的注销是什么?流看起来像?!)。谢谢!
【问题讨论】: