7

搜索了好多的说是:退出登录, 只要客户端把Token丢弃就可以了,服务器端不需要废弃Token。

问题1:未过期的token还是可以用

要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。

我的解决方案是:当用户第一次登录成功后将token存到数据库,每次都对比传过来的token和该用户在数据库的token是否相同。
当是问题2:多个设备会出现死循环

如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证时,找到该用户数据库存的token,两个对比一下,如果一样就通过,否则让用户登录。有一个问题,如果这样做,要是有两设备,就死循环了。一个设备登录了,token就会变,导致另一个去登录,然后这个token又失效了,成死循环了。

jwt好像没有提供怎么注销token?请问有什么解决办法吗?TKS!

唐成勇 5.2k
2017-07-04 提问

查看全部 10 个回答

6

其实要完美地失效JWT是没办法做到的。

"Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token."
这篇文章写得比较简单易懂:https://medium.com/devgorilla...

有以下几个方法可以做到失效 JWT token:

  1. 将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。
  2. 维护一个 token 黑名单,失效则加入黑名单中。
  3. 在 JWT 中增加一个版本号字段,失效则改变该版本号。
  4. 在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。

推广链接