我来晚了一点，但我想我有个不错的解决办法。

我在数据库中有一个“last_password_change”列，用于存储密码最后一次更改的日期和时间。我还将发布日期/时间存储在JWT中。在验证令牌时，我会检查在令牌发出后密码是否已更改，如果已更改，即使令牌尚未过期也会被拒绝。

每个用户字符串唯一，全局字符串散列在一起作为JWT的秘密部分，允许单独和全局令牌无效。最大的灵活性，代价是在请求身份验证期间数据库查找/读取。也很容易缓存，因为它们很少改变。

这里有一个例子:

HEADER:ALGORITHM & TOKEN TYPE

{
  "alg": "HS256",
  "typ": "JWT"
}
PAYLOAD:DATA

{
  "sub": "1234567890",
  "some": "data",
  "iat": 1516239022
}
VERIFY SIGNATURE

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  HMACSHA256('perUserString'+'globalString')
)

where HMACSHA256 is your local crypto sha256
  nodejs 
    import sha256 from 'crypto-js/sha256';
    sha256(message);

例如，用法参见https://jwt.io(不确定他们是否处理动态256位秘密)

我要回答的是，当我们使用JWT时，我们是否需要提供从所有设备注销功能。这种方法将对每个请求使用数据库查找。因为即使服务器崩溃，我们也需要持久安全状态。在用户表中，我们将有两列

LastValidTime(默认为创建时间) 登录(默认值:true)

每当有来自用户的注销请求时，我们将LastValidTime更新为当前时间，login - in更新为false。如果有一个登录请求，我们不会改变LastValidTime，但登录将被设置为true。

当我们创建JWT时，我们将在有效载荷中有JWT创建时间。当我们授权一项服务时，我们将检查3个条件

JWT有效吗 JWT有效负载创建时间是否大于用户LastValidTime 用户是否已登录

让我们来看一个实际的场景。

用户X有两个设备A和b，他在晚上7点使用设备A和设备b登录到我们的服务器(假设JWT过期时间是12小时)。A和B都有JWT, createdTime: 7pm

在晚上9点，他丢失了他的设备b，他立即从设备a注销。这意味着现在我们的数据库X用户条目的LastValidTime为“ThatDate:9:00:xx:xxx”，登录为“false”。

在9:30,Mr.Thief尝试使用设备b登录，我们将检查数据库，即使登录是假的，所以我们不允许。

晚上10点，x先生从他的设备A登录，现在设备A有JWT，并创建了时间:10点。现在database Logged-In被设置为true

晚上10点半，小偷先生试图登录。即使“登录”是真的。数据库中的LastValidTime是晚上9点，但是B的JWT创建的时间是晚上7点。所以他不会被允许访问该服务。所以使用设备B没有密码，他不能使用已经创建的JWT在一个设备注销后。

以下方法可以提供两全其美的解决方案:

让“立即”表示“~1分钟”。

例:

User attempts a successful login: A. Add an "issue time" field to the token, and keep the expiry time as needed. B. Store the hash of user's password's hash or create a new field say tokenhash in the user's table. Store the tokenhash in the generated token. User accesses a url: A. If the "issue time" is in the "immediate" range, process the token normally. Don't change the "issue time". Depending upon the duration of "immediate" this is the duration one is vulnerable in. But a short duration like a minute or two shouldn't be too risky. (This is a balance between performance and security). Three is no need to hit the db here. B. If the token is not in the "immediate" range, check the tokenhash against the db. If its okay, update the "issue time" field. If not okay then don't process the request (Security is finally enforced). User changes the tokenhash to secure the account. In the "immediate" future the account is secured.

我们将数据库查询保存在“immediate”范围内。 如果在“即时”持续时间内有来自客户端的大量请求，那么这是最有益的。

如果“注销所有设备”选项是可接受的(在大多数情况下是):

将令牌版本字段添加到用户记录中。 将此字段中的值添加到存储在JWT中的声明中。 每次用户注销时增加版本。 在验证令牌时，将其版本声明与存储在用户记录中的版本进行比较，如果不相同则拒绝。

无论如何，在大多数情况下都需要db访问以获取用户记录，因此这不会给验证过程增加太多开销。与维护黑名单不同，在黑名单中，由于需要使用连接或单独调用、清除旧记录等，数据库负载非常重要。

---------------- 这个答案一点迟到但可能会帮助别人 ----------------

从客户端，最简单的方法是从浏览器的存储中删除令牌。

但是，如果您想销毁节点服务器上的令牌-

JWT包的问题是它没有提供任何方法或方法来销毁令牌。 您可以使用上面提到的关于JWT的不同方法。但是这里我用的是jwt-redis。

所以为了在服务器端销毁令牌，你可以使用JWT -redis包而不是JWT

这个库(jwt-redis)完全重复了库jsonwebtoken的全部功能，只增加了一个重要的功能。Jwt-redis允许您将tokenIdentifier存储在redis中以验证有效性。redis中缺少tokenIdentifier使得令牌无效。要销毁jwt-redis中的令牌，有一个destroy方法

它是这样工作的:

从npm安装jwt-redis 创建:

Var redis = require('redis'); var JWTR = require('jwt-redis').default; var redisClient = redis.createClient(); var jwtr = new jwtr (redisClient); Const secret = 'secret'; const tokenIdentifier = 'test'; const payload = {jti: tokenIdentifier};//你也可以在payload中放入其他数据 jwtr。号(载荷、秘密) 不要犹豫((令牌)= > { //你的代码 }) .catch((错误)= > { //错误处理 })；

验证:

jwtr。验证(令牌,秘密);

摧毁:

//如果jti在token的签名过程中传递，那么tokenIdentifier else token jwtr.destroy(tokenIdentifier或token)

注意:

1).你可以在token的登录过程中提供expiresIn，就像JWT中提供的一样。

2).如果在token的签名过程中没有传递jti，那么jti将由库随机生成。

也许这能帮到你或其他人。谢谢。