我想知道的最佳实践,无需更改密码/注销时db分配JWT无效。 我有下面的想法通过点击用户数据库来处理上述2个案例。 1.密码更改的情况下,我检查存储在用户数据库中的密码(散列)。 2.退出login时,我将最后退出时间保存在用户数据库中,因此通过比较令牌创build时间和退出时间,我可以使这种情况失效。 但是,这两种情况是以每次用户点击api时触及用户db为代价的。 任何最佳实践表示赞赏。 更新:我不认为我们可以使JWT无效,而不击中分贝。 所以我想出了一个解决scheme。 我已经发布了我的答案,如果您有任何疑虑,欢迎您。