搜索了好多的说是:退出登录, 只要客户端把Token丢弃就可以了,服务器端不需要废弃Token。
问题1:未过期的token还是可以用
要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。
我的解决方案是:当用户第一次登录成功后将token存到数据库,每次都对比传过来的token和该用户在数据库的token是否相同。
当是问题2:多个设备会出现死循环
如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证时,找到该用户数据库存的token,两个对比一下,如果一样就通过,否则让用户登录。有一个问题,如果这样做,要是有两设备,就死循环了。一个设备登录了,token就会变,导致另一个去登录,然后这个token又失效了,成死循环了。
jwt好像没有提供怎么注销token?请问有什么解决办法吗?TKS!
其实要完美地失效JWT是没办法做到的。
"Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token."
这篇文章写得比较简单易懂:https://medium.com/devgorilla...
有以下几个方法可以做到失效 JWT token: