这是一个创建于 1333 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果我在用户表存一个 key ,作为该用户 jwt 的 secret 。这样用户注销或重置密码,重新设置用户表的 key 。之前的 jwt 是不是就不能验证成功,是不是就实现了强制下线。(这个方案前提是数据库不能泄露)
 | 1 cheng6563 2022 年 8 月 22 日 那直接把 key 当做 token 岂不更秒? |
 | 2 PerFectTime 2022 年 8 月 22 日 那这样和 token 有啥区别,为什么要用 jwt |
 | 3 neptuno OP |
 | 4 justfindu 2022 年 8 月 22 日 你密钥都变了, 然后你怎么验证给过来的 payload 是真实有效的? 然后你无法验证是真实有效的, 你怎么能拿里面的 sub 来验证查询是哪一个对应的 key ? 是不是整个逻辑就不通了. |
 | 5 johnli 2022 年 8 月 22 日 你这思路看起来也没问题 |
 | 7 cozof 2022 年 8 月 22 日 via iPhone 加一个黑名单机制,把要下线的 jwt 加入黑名单。 |
Select Language