在内存中做一个这样的列表

user_id   revoke_tokens_issued_before
-------------------------------------
123       2018-07-02T15:55:33
567       2018-07-01T12:34:21

如果您的令牌在一周内过期，则清除或忽略更早的记录。同时只保留每个用户的最新记录。 列表的大小取决于您保留令牌的时间以及用户撤销令牌的频率。 仅当表发生变化时才使用db。在应用程序启动时将表加载到内存中。

我也一直在研究这个问题，虽然下面的想法都不是完整的解决方案，但它们可能会帮助其他人排除这些想法，或者提供进一步的解决方案。

1)简单地从客户端删除令牌

显然，这对服务器端安全没有任何帮助，但它确实通过删除令牌来阻止攻击者。他们必须在登出之前窃取令牌)。

2)创建一个令牌区块列表

您可以将无效令牌存储到它们最初的到期日期，并将它们与传入的请求进行比较。这似乎否定了首先完全基于令牌的原因，因为每个请求都需要访问数据库。存储大小可能会更小，因为您只需要存储注销时间和到期时间之间的令牌(这是一种直觉，而且肯定取决于上下文)。

3)保持代币到期时间短，并经常轮换

如果您将令牌过期时间保持在足够短的间隔内，并让运行中的客户端保持跟踪并在必要时请求更新，那么第1条将有效地作为一个完整的注销系统。这种方法的问题是，它不可能在客户端代码关闭之间保持用户登录(取决于您设置的过期间隔多长时间)。

应急计划

如果出现紧急情况，或者用户令牌被破坏，您可以做的一件事是允许用户使用其登录凭据更改底层用户查找ID。这将使所有关联的令牌无效，因为将不再能够找到关联的用户。

我还想指出，在令牌中包含最后一次登录日期是个好主意，这样您就可以在一段时间后强制重新登录。

关于使用令牌的攻击的相似/不同之处，这篇文章解决了这个问题:https://github.com/dentarg/blog/blob/master/_posts/2014-01-07-angularjs-authentication-with-cookies-vs-token.markdown

即使从存储中删除令牌，它仍然有效，但只是在短时间内有效，以降低它被恶意使用的可能性。

您可以创建一个拒绝列表，一旦从存储中删除令牌，就可以将令牌添加到该列表中。如果你有一个微服务，所有其他使用这个令牌的服务都必须添加额外的逻辑来检查这个列表。这将集中您的身份验证，因为每个服务器都必须检查一个集中的数据结构。

您可以在用户的文档/记录上的DB上有一个“last_key_used”字段。

当用户使用user和pass登录时，生成一个新的随机字符串，将其存储在last_key_used字段中，并在签名令牌时将其添加到负载中。

当用户使用令牌登录时，检查数据库中的last_key_used是否与令牌中的last_key_used匹配。

然后，当用户执行注销操作时，或者如果您想使令牌失效，只需将“last_key_used”字段更改为另一个随机值，随后的任何检查都将失败，从而迫使用户使用user登录并再次通过。

简单地创建添加以下对象到你的用户模式:

const userSchema = new mongoose.Schema({
{
... your schema code,
destroyAnyJWTbefore: Date
}

当你在/login上收到POST请求时，将这个文档的日期更改为date .now()

最后，在您的身份验证检查代码中，即在您的中间件中检查isauthenticated或protected或任何您使用的名称，只需添加一个检查myjwt的验证。iat大于userDoc.destroyAnyJWTbefore。

如果您想在服务器端销毁JWT，那么在安全性方面，这个解决方案是最好的。 这个解决方案不再依赖于客户端，它打破了使用jwt的主要目标，即停止在服务器端存储令牌。 这取决于您的项目上下文，但最可能的是您想要从服务器上销毁JWT。

如果您只想从客户端销毁令牌，只需从浏览器中删除cookie(如果您的客户端是浏览器)，在智能手机或任何其他客户端上也可以这样做。

如果选择从服务器端销毁令牌，我建议您使用Radis通过实现其他用户提到的黑名单样式来快速执行此操作。

现在的主要问题是:jwt无用吗?上帝知道。

我要回答的是，当我们使用JWT时，我们是否需要提供从所有设备注销功能。这种方法将对每个请求使用数据库查找。因为即使服务器崩溃，我们也需要持久安全状态。在用户表中，我们将有两列

LastValidTime(默认为创建时间) 登录(默认值:true)

每当有来自用户的注销请求时，我们将LastValidTime更新为当前时间，login - in更新为false。如果有一个登录请求，我们不会改变LastValidTime，但登录将被设置为true。

当我们创建JWT时，我们将在有效载荷中有JWT创建时间。当我们授权一项服务时，我们将检查3个条件

JWT有效吗 JWT有效负载创建时间是否大于用户LastValidTime 用户是否已登录

让我们来看一个实际的场景。

用户X有两个设备A和b，他在晚上7点使用设备A和设备b登录到我们的服务器(假设JWT过期时间是12小时)。A和B都有JWT, createdTime: 7pm

在晚上9点，他丢失了他的设备b，他立即从设备a注销。这意味着现在我们的数据库X用户条目的LastValidTime为“ThatDate:9:00:xx:xxx”，登录为“false”。

在9:30,Mr.Thief尝试使用设备b登录，我们将检查数据库，即使登录是假的，所以我们不允许。

晚上10点，x先生从他的设备A登录，现在设备A有JWT，并创建了时间:10点。现在database Logged-In被设置为true

晚上10点半，小偷先生试图登录。即使“登录”是真的。数据库中的LastValidTime是晚上9点，但是B的JWT创建的时间是晚上7点。所以他不会被允许访问该服务。所以使用设备B没有密码，他不能使用已经创建的JWT在一个设备注销后。