使用撤销服务的会话与JWT身份验证

Question

与基于会话的身份验证相比，JWT身份验证在分布式系统中的实现应该不那么麻烦。对于传统的会话身份验证，您需要一个共享缓存(这是一个单点故障)或一个分布式缓存(它有自己的一组复杂性)。

例如，为了“注销”用户，添加一个撤销服务，例如令牌黑名单，不会引入上述会话身份验证的相同麻烦吗？

Answer 1

是的，它会的。添加黑名单将导致您失去JWT的一些优势，例如不需要服务器空间，除了您所说的如果您使用具有多个服务器的缓存，您将需要复制机制。

但通常的假设是允许令牌过期，而不是使用黑名单并设置较小的刷新时间。

看一下here，了解一些使令牌无效的常见技术