---------------- 这个答案一点迟到但可能会帮助别人 ----------------

从客户端，最简单的方法是从浏览器的存储中删除令牌。

但是，如果您想销毁节点服务器上的令牌-

JWT包的问题是它没有提供任何方法或方法来销毁令牌。 您可以使用上面提到的关于JWT的不同方法。但是这里我用的是jwt-redis。

所以为了在服务器端销毁令牌，你可以使用JWT -redis包而不是JWT

这个库(jwt-redis)完全重复了库jsonwebtoken的全部功能，只增加了一个重要的功能。Jwt-redis允许您将tokenIdentifier存储在redis中以验证有效性。redis中缺少tokenIdentifier使得令牌无效。要销毁jwt-redis中的令牌，有一个destroy方法

它是这样工作的:

从npm安装jwt-redis 创建:

Var redis = require('redis'); var JWTR = require('jwt-redis').default; var redisClient = redis.createClient(); var jwtr = new jwtr (redisClient); Const secret = 'secret'; const tokenIdentifier = 'test'; const payload = {jti: tokenIdentifier};//你也可以在payload中放入其他数据 jwtr。号(载荷、秘密) 不要犹豫((令牌)= > { //你的代码 }) .catch((错误)= > { //错误处理 })；

验证:

jwtr。验证(令牌,秘密);

摧毁:

//如果jti在token的签名过程中传递，那么tokenIdentifier else token jwtr.destroy(tokenIdentifier或token)

注意:

1).你可以在token的登录过程中提供expiresIn，就像JWT中提供的一样。

2).如果在token的签名过程中没有传递jti，那么jti将由库随机生成。

也许这能帮到你或其他人。谢谢。

我是这样做的:

生成一个唯一的散列，然后将其存储在redis和JWT中。这可以称为会话 我们还将存储特定JWT发出的请求数量——每次JWT被发送到服务器时，我们将请求增加整数。(这是可选的)

因此，当用户登录时，将创建一个唯一的散列，存储在redis中并注入到JWT中。

当用户试图访问受保护的端点时，您将从JWT中获取唯一的会话散列，查询redis并查看它是否匹配!

我们可以以此为基础，让我们的JWT更加安全，如下所示:

每个特定JWT发出的X请求，我们生成一个新的唯一会话，将其存储在我们的JWT中，然后将前一个会话列入黑名单。

这意味着JWT是不断变化的，并防止过时的JWT被黑客攻击、窃取或其他东西。

我来晚了一点，但我想我有个不错的解决办法。

我在数据库中有一个“last_password_change”列，用于存储密码最后一次更改的日期和时间。我还将发布日期/时间存储在JWT中。在验证令牌时，我会检查在令牌发出后密码是否已更改，如果已更改，即使令牌尚未过期也会被拒绝。

简单地创建添加以下对象到你的用户模式:

const userSchema = new mongoose.Schema({
{
... your schema code,
destroyAnyJWTbefore: Date
}

当你在/login上收到POST请求时，将这个文档的日期更改为date .now()

最后，在您的身份验证检查代码中，即在您的中间件中检查isauthenticated或protected或任何您使用的名称，只需添加一个检查myjwt的验证。iat大于userDoc.destroyAnyJWTbefore。

如果您想在服务器端销毁JWT，那么在安全性方面，这个解决方案是最好的。 这个解决方案不再依赖于客户端，它打破了使用jwt的主要目标，即停止在服务器端存储令牌。 这取决于您的项目上下文，但最可能的是您想要从服务器上销毁JWT。

如果您只想从客户端销毁令牌，只需从浏览器中删除cookie(如果您的客户端是浏览器)，在智能手机或任何其他客户端上也可以这样做。

如果选择从服务器端销毁令牌，我建议您使用Radis通过实现其他用户提到的黑名单样式来快速执行此操作。

现在的主要问题是:jwt无用吗?上帝知道。

A good approach to invalidating a token would still need database trips. For a purpose that includes when some parts of the user record change, for example changing roles, changing passwords, email, and more. One can add a modified or updated_at field in the user record, which records the time of this change, and then you include this in the claims. So when a JWT is authenticated, you compare the time in the claims with the one recorded in the DB, if that of the claim was before, then token is invalid. This approach is also similar to storing the iat in the DB.

注意:如果您正在使用modified或updated_at选项，那么您还必须在用户登录和退出时更新它。

您可以在用户的文档/记录上的DB上有一个“last_key_used”字段。

当用户使用user和pass登录时，生成一个新的随机字符串，将其存储在last_key_used字段中，并在签名令牌时将其添加到负载中。

当用户使用令牌登录时，检查数据库中的last_key_used是否与令牌中的last_key_used匹配。

然后，当用户执行注销操作时，或者如果您想使令牌失效，只需将“last_key_used”字段更改为另一个随机值，随后的任何检查都将失败，从而迫使用户使用user登录并再次通过。