Ich habe viel über JWT gelesen und wie man mit JWT "zustandslose" Sitzungen erstellt. Das Wesentliche meines Wissens ist, dass Sie aufgrund der Signatur und des Ablaufs im Wesentlichen die gesamte Sitzung senden können, um sie vom Client zu speichern, und der Server keine Datenbank verwalten muss, um sich an die Sitzung zu erinnern.

as ich nicht verstehe ist, was passiert, wenn sich Ihr Benutzer abmelden muss oder Sie eine Sitzung vor dem Ablauf ungültig machen müssen?

Technisch könnten Sie den Browser anweisen, es vom Client aus zu löschen, aber Sie können nicht sicher sein, ob dies tatsächlich passiert ist. Das Token selbst ist technisch gesehen immer noch gültig. Wenn Ihre Löschanweisungen nicht befolgt werden, kann es weiterhin verwendet werden.

Ist dieses Verständnis richtig? Wenn ja, ist dies kein großer Fehler bei der clientseitigen Sitzungsverwaltung? Gibt es irgendwelche Methoden, um dies zu überwinden, außer dass der Server die Sitzung speichert oder die Ablaufzeit verkürzt?