以下方法可以提供两全其美的解决方案:

让“立即”表示“~1分钟”。

例:

User attempts a successful login: A. Add an "issue time" field to the token, and keep the expiry time as needed. B. Store the hash of user's password's hash or create a new field say tokenhash in the user's table. Store the tokenhash in the generated token. User accesses a url: A. If the "issue time" is in the "immediate" range, process the token normally. Don't change the "issue time". Depending upon the duration of "immediate" this is the duration one is vulnerable in. But a short duration like a minute or two shouldn't be too risky. (This is a balance between performance and security). Three is no need to hit the db here. B. If the token is not in the "immediate" range, check the tokenhash against the db. If its okay, update the "issue time" field. If not okay then don't process the request (Security is finally enforced). User changes the tokenhash to secure the account. In the "immediate" future the account is secured.

我们将数据库查询保存在“immediate”范围内。 如果在“即时”持续时间内有来自客户端的大量请求，那么这是最有益的。

如果“注销所有设备”选项是可接受的(在大多数情况下是):

将令牌版本字段添加到用户记录中。 将此字段中的值添加到存储在JWT中的声明中。 每次用户注销时增加版本。 在验证令牌时，将其版本声明与存储在用户记录中的版本进行比较，如果不相同则拒绝。

无论如何，在大多数情况下都需要db访问以获取用户记录，因此这不会给验证过程增加太多开销。与维护黑名单不同，在黑名单中，由于需要使用连接或单独调用、清除旧记录等，数据库负载非常重要。

Kafka消息队列和本地黑名单

我想过使用像kafka这样的消息系统。让我解释一下:

例如，您可以有一个微服务(我们称之为userMgmtMs服务)，它负责登录和注销，并生成JWT令牌。然后将这个令牌传递给客户端。

现在客户端可以使用这个令牌来调用不同的微服务(让我们称之为pricesMs)，在pricesMs中，将没有数据库检查用户表，从这个表中触发了最初的令牌创建。该数据库只能存在于userMgmtMs中。此外，JWT令牌应该包括权限/角色，这样pricesm就不需要从DB中查找任何东西来允许spring安全性工作。

JwtRequestFilter可以提供一个UserDetails对象，该对象由JWT令牌中提供的数据创建(显然没有密码)，而不是去到pricesMs中的DB。

那么，如何注销或使令牌失效呢?由于我们不想在每次请求priecesm时都调用userMgmtMs的数据库(这会引入很多不必要的依赖关系)，因此解决方案可以使用这个令牌黑名单。

我建议使用kafka消息队列，而不是保持这个黑名单集中，并依赖于所有微服务的一个表。

userMgmtMs仍然负责注销，一旦注销完成，它就会把它放入自己的黑名单(一个微服务之间不共享的表)。此外，它还将带有此令牌内容的kafka事件发送到订阅了所有其他微服务的内部kafka服务。

一旦其他微服务接收到kafka事件，它们也会将其放入内部黑名单。

即使一些微服务在注销时关闭了，它们最终也会重新启动，并在稍后的状态下接收消息。

由于kafka是这样开发的，客户端有他们自己的引用，他们读了哪些消息，确保没有客户端，down或up将错过任何这些无效的令牌。

The only issue again what I can think of is that the kafka messaging service will again introduce a single point of failure. But it is kind of reversed because if we have one global table where all invalid JWT tokens are saved and this db or micro service is down nothing works. With the kafka approach + client side deletion of JWT tokens for a normal user logout a downtime of kafka would in most cases not even be noticeable. Since the black lists are distributed among all microservies as an internal copy.

在关闭的情况下，你需要使一个被黑客攻击的用户无效，kafka宕机了，这就是问题开始的地方。在这种情况下，作为最后的手段改变秘密可能会有所帮助。或者在这样做之前确保卡夫卡已经起床了。

免责声明:我还没有实现这个解决方案，但不知怎么的，我觉得大多数提议的解决方案都否定了JWT令牌的想法，因为它有一个中央数据库查找。所以我在考虑另一种解决方案。

请让我知道你的想法，它是有意义的还是有一个明显的原因为什么它不能?

IAM解决方案，如Keycloak(我曾经工作过)提供令牌撤销端点

令牌撤销端点 /领域/{域名}/协议/ openid-connect /撤销

如果只是想注销用户代理(或用户)，也可以调用端点(这将使令牌无效)。同样，在Keycloak的情况下，依赖方只需要调用端点

/realms/{realm-name}/protocol/openid-connect/logout

链接以防万一，如果你想了解更多

即使从存储中删除令牌，它仍然有效，但只是在短时间内有效，以降低它被恶意使用的可能性。

您可以创建一个拒绝列表，一旦从存储中删除令牌，就可以将令牌添加到该列表中。如果你有一个微服务，所有其他使用这个令牌的服务都必须添加额外的逻辑来检查这个列表。这将集中您的身份验证，因为每个服务器都必须检查一个集中的数据结构。

您可以在用户的文档/记录上的DB上有一个“last_key_used”字段。

当用户使用user和pass登录时，生成一个新的随机字符串，将其存储在last_key_used字段中，并在签名令牌时将其添加到负载中。

当用户使用令牌登录时，检查数据库中的last_key_used是否与令牌中的last_key_used匹配。

然后，当用户执行注销操作时，或者如果您想使令牌失效，只需将“last_key_used”字段更改为另一个随机值，随后的任何检查都将失败，从而迫使用户使用user登录并再次通过。