JWT如何实现 logout() 和 refresh()

JWT不存储在服务器,那logout() 和 refresh()执行后,旧的TOKEN就失效了,是执行后 把旧的TOKEN存储起来了吗,还是怎么实现的?

《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
最佳答案

旧的token是存储到缓存里了。博客:JWT-Auth 黑名单功能

3年前 评论
讨论数量: 2

个人理解,JWT 放客户端的,过期时间也放客户端的,只是使用 signature 做了防篡改,所以 logout() 可以将 JWT 从客户端存储介质中移除,比如 CookieLocalStorage 等,并非真正作废掉,refresh() 看上去也只是重新发一个凭证,老凭证直接从客户端删除即可。

如果一定要严格的失效 JWT,可以考虑把第三段 signature 配合 redis 做一个过期标记,配合中间件做拦截,expire 设为 JWT 中的凭证过期时间即可。

3年前 评论

旧的token是存储到缓存里了。博客:JWT-Auth 黑名单功能

3年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!