JWT似乎不是REST的安全解决方案。

Question

我正在开发一个REST，但是JWT在我看来是错误的。我们都称它们为“无状态令牌”，但实际上它们带来了许多问题。

我们都说，它们不应该存储在数据库或内存缓存解决方案中。但是关于这个API有三个核心条件，请告诉我如何在不访问/存储在DB中的情况下实现它们。

当用户更改密码时，令牌应该被immediately.

• When用户注销，令牌应该是无效的，immediately.

• The体系结构应该可以很容易地进行水平缩放。我不想惹麻烦。--

如果我们针对这些条件在每个请求中进行数据库/缓存查找，JWT是一个完全无用的解决方案，不是吗？

Answer 1

我不相信JWT会像你正在寻找的那样允许强制过期。您希望使用的更多的是一个引用令牌，可以在这里找到https://identityserver4.readthedocs.io/en/latest/topics/reference_tokens.html?highlight=reference。

尽管如此，JWT仍然非常有用。但是，它们最好是在很短的到期日期内实现。