Это главная проблема, когда вы используете JWT. Таким образом, в данном случае наилучшим подходом является создание черного списка на вашем шлюзе. Это не лучшее решение с точки зрения безопасности, но это только хорошее решение, если вы используете JWT.
ьшинстве учебников по JWT (JSON Web Token) (например:этот а такжеэтот) говорят, что после проверки вы можете использовать входящий токен, чтобы получить информацию о клиенте, не проверяя ее из БД.
У меня вопрос, как тогда сохраняется неверная пользовательская ситуация? Я имею в виду, скажем, клиент только что получил токен JWT, срок действия которого истекает через одну неделю. Но по очень конкретной причине, скажем, мы решили сделать пользователя недействительным и не хотим, чтобы пользователь имел доступ к нашему API. Но все же у этого пользователя есть токен, который является действительным, и пользователь может получить доступ к API.
Конечно, если для каждого запроса мы отправляемся в оба конца в БД, мы можем проверить, действителен ли аккаунт или нет. Мой вопрос заключается в том, как лучше всего позаботиться о такой ситуации для долгоживущих токенов.
Заранее спасибо.