这是一个创建于 606 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果我在用户表存一个 key ,作为该用户 jwt 的 secret 。这样用户注销或重置密码,重新设置用户表的 key 。之前的 jwt 是不是就不能验证成功,是不是就实现了强制下线。(这个方案前提是数据库不能泄露)
 |
1
cheng6563 2022-08-22 15:20:18 +08:00
那直接把 key 当做 token 岂不更秒?
|
 |
2
PerFectTime 2022-08-22 15:20:20 +08:00
那这样和 token 有啥区别,为什么要用 jwt
|
 |
3
neptuno OP |
 |
4
justfindu 2022-08-22 15:22:35 +08:00
你密钥都变了, 然后你怎么验证给过来的 payload 是真实有效的? 然后你无法验证是真实有效的, 你怎么能拿里面的 sub 来验证查询是哪一个对应的 key ? 是不是整个逻辑就不通了.
|
 |
5
johnli 2022-08-22 15:23:06 +08:00
你这思路看起来也没问题
|
 |
7
cozof 2022-08-22 18:59:05 +08:00 via iPhone
加一个黑名单机制,把要下线的 jwt 加入黑名单。
|
Select Language