Я хотел бы знать лучшие практики, чтобы сделать недействительным JWT, не нажимая на БД при смене пароля / выхода из системы.

У меня есть идея ниже, чтобы обработать выше 2 случая, попав в базу данных пользователей.

1.В случае смены пароля, я проверяю пароль (хэшированный), хранящийся в пользовательской базе данных.

2.В случае выхода из системы я сохраняю время последнего выхода из системы в базе данных пользователя, следовательно, сравнивая время создания токена и время выхода из системы, я могу сделать этот случай недействительным.

Но эти 2 случая происходят за счет удара пользователя по БД каждый раз, когда пользователь нажимает на API. Любая лучшая практика приветствуется.

ОБНОВИТЬ: Я не думаю, что мы можем сделать недействительным JWT, не нажимая на БД. Поэтому я пришел к решению. Я разместил свой ответ, если у вас есть какие-либо вопросы, пожалуйста.