JWT不存储在服务器,那logout() 和 refresh()执行后,旧的TOKEN就失效了,是执行后 把旧的TOKEN存储起来了吗,还是怎么实现的?
个人理解,JWT 放客户端的,过期时间也放客户端的,只是使用 signature 做了防篡改,所以 logout() 可以将 JWT 从客户端存储介质中移除,比如 Cookie,LocalStorage 等,并非真正作废掉,refresh() 看上去也只是重新发一个凭证,老凭证直接从客户端删除即可。
如果一定要严格的失效 JWT,可以考虑把第三段 signature 配合 redis 做一个过期标记,配合中间件做拦截,expire 设为 JWT 中的凭证过期时间即可。
粤ICP备18099781号-6
|
粤公网安备 44030502004330号
|
违法和不良信息举报
由 Summer 设计和编码 ❤
请登录
关于 LearnKu
旧的token是存储到缓存里了。博客:JWT-Auth 黑名单功能