Me gustaría conocer las mejores prácticas para invalidar JWT sin presionar db al cambiar la contraseña / cerrar sesión.

Tengo la idea a continuación para manejar los 2 casos anteriores presionando la base de datos del usuario.

1.En caso de cambios de contraseña, compruebo la contraseña (hash) almacenada en el usuario db.

2. En caso de cierre de sesión, ahorro el último tiempo de cierre de sesión en el usuario db, por lo tanto, al comparar el tiempo creado por el token y el tiempo de cierre de sesión, puedo invalidar este caso.

Pero estos 2 casos tienen el costo de golpear al usuario db cada vez que el usuario golpea la API. Cualquier mejor práctica es apreciada.

ACTUALIZAR: No creo que podamos invalidar JWT sin presionar db. Entonces se me ocurrió una solución. He publicado mi respuesta, si tiene alguna preocupación, de nada.