Na maioria dos tutoriais do JWT (JSON Web Token) (por exemplo:esta eesta) estão dizendo que, uma vez validado, você pode usar o token recebido para obter informações do cliente sem validá-lo do banco de dados.

Minha pergunta é: como a situação do usuário inválido é mantida? O que quero dizer é, digamos que um cliente acabou de receber um token JWT que expira em uma semana. Mas, por motivos muito específicos, digamos que decidimos invalidar o usuário e não queremos que ele acesse nossa API. Ainda assim, esse usuário possui um token válido e pode acessar a API.

Obviamente, se fizermos uma viagem de ida e volta ao DB para cada solicitação, poderemos validar se a conta é válida ou inválida. Minha pergunta é: qual é a melhor maneira de cuidar desse tipo de situação por tokens de longa duração.

Desde já, obrigado.