JWT 怎么解决用户被禁用的问题？

首先使用JWT的目的就是做服务端无状态，不想在服务端存储与用户Session有关的数据。而JWT内容仅是简单的Base64编码，故不宜存储敏感信息。一般存储用户ID，或者与用户ID唯一映射的一个字符串(隐藏数据库真实用户ID)。

再回到问题本身，可以考虑使用缓存的方式。比如有个专门封装的校验是否被禁用? 是否被删除? 权限是否发生变化?的服务。这个服务只是网关层的一个小模块，具体实现可依赖Redis等缓存，加快校验速度。

假设Redis里面存储有 被禁用账号列表? 每次查询一下当前账号是否被禁用。若数据量较大时，还可进行分桶?布隆过滤器等手段优化。

延伸一下，这个流程很适合使用责任链设计模式啊。

附加信息比较多，感觉难以做一个通用的解决方案，大概率要根据实际业务来做具体设计。

jwt只放用户标识类信息，过多的信息不需要都放在里面，如果需要查询更新用户信息，查redis/数据库里。redis/数据库做好同步

一般项目中 jwt不放敏感的信息,通常只是放个userId,封禁,等一系列的变化都是通过userId 去关联查询,而且这些关联信息会存储在缓存中,避免给数据库造成压力

所以说jwt虽然看着美好，但并不是特别实用，像是楼中说的各种加redis、数据库二次验证的，但是jwt当初设计就是为了不再走这些验证，现在又加上了，那我干嘛还用jwt,我直接返回一个token不好吗，还加密解密搞这么麻烦干嘛。
实在是想解决禁用问题，只能是和楼中说的加黑名单二次验证。

jwt 比较切实的作用就是安全的分发信息，就普通的业务而言，就是我不用查数据库就知道用户 id 和用户名是多少，但涉及到鉴权等其它方面就和普通 token 字符串无差别。

安全地分发信息这一点，苹果应用商店的 StoreKitV2 分发交易信息的场景是我认为非常 OK 的：用 ES256 为交易信息签名，我们的业务端使用公钥验签。提升了效率、保障了安全。