我一直在考虑的一种方法是在JWT中始终有一个iat(发布时间)值。然后，当用户注销时，将时间戳存储在用户记录上。在验证JWT时，只需将iat与上次注销的时间戳进行比较。如果iat更老，那么它是无效的。是的，您必须访问DB，但如果JWT在其他方面有效，我将始终提取用户记录。

我所看到的主要缺点是，如果他们在多个浏览器中，或者有一个移动客户端，它会让他们退出所有的会话。

这也是一种很好的机制，可以使系统中的所有jwt无效。部分检查可以针对最后有效的iat时间的全局时间戳。

如果不对每个令牌验证进行DB查找，这似乎很难解决。我能想到的替代方案是在服务器端保留无效令牌的黑名单;当发生更改时，应该在数据库上进行更新，通过使服务器在重新启动时检查数据库以加载当前黑名单来持久化更改。

但是如果你把它放在服务器内存中(一个全局变量)，那么如果你使用多个服务器，它就不能跨多个服务器伸缩，所以在这种情况下，你可以把它保存在一个共享的Redis缓存中，应该设置在某个地方持久化数据(数据库?文件系统?)，以防它必须重新启动，每次新服务器启动时，它都必须订阅Redis缓存。

作为黑名单的替代方案，使用相同的解决方案，你可以像这个其他答案指出的那样，在每个会话中保存一个散列(虽然不确定在许多用户登录时是否更有效)。

听起来是不是很复杂?对我来说是这样的!

免责声明:我没有使用过Redis。

Kafka消息队列和本地黑名单

我想过使用像kafka这样的消息系统。让我解释一下:

例如，您可以有一个微服务(我们称之为userMgmtMs服务)，它负责登录和注销，并生成JWT令牌。然后将这个令牌传递给客户端。

现在客户端可以使用这个令牌来调用不同的微服务(让我们称之为pricesMs)，在pricesMs中，将没有数据库检查用户表，从这个表中触发了最初的令牌创建。该数据库只能存在于userMgmtMs中。此外，JWT令牌应该包括权限/角色，这样pricesm就不需要从DB中查找任何东西来允许spring安全性工作。

JwtRequestFilter可以提供一个UserDetails对象，该对象由JWT令牌中提供的数据创建(显然没有密码)，而不是去到pricesMs中的DB。

那么，如何注销或使令牌失效呢?由于我们不想在每次请求priecesm时都调用userMgmtMs的数据库(这会引入很多不必要的依赖关系)，因此解决方案可以使用这个令牌黑名单。

我建议使用kafka消息队列，而不是保持这个黑名单集中，并依赖于所有微服务的一个表。

userMgmtMs仍然负责注销，一旦注销完成，它就会把它放入自己的黑名单(一个微服务之间不共享的表)。此外，它还将带有此令牌内容的kafka事件发送到订阅了所有其他微服务的内部kafka服务。

一旦其他微服务接收到kafka事件，它们也会将其放入内部黑名单。

即使一些微服务在注销时关闭了，它们最终也会重新启动，并在稍后的状态下接收消息。

由于kafka是这样开发的，客户端有他们自己的引用，他们读了哪些消息，确保没有客户端，down或up将错过任何这些无效的令牌。

The only issue again what I can think of is that the kafka messaging service will again introduce a single point of failure. But it is kind of reversed because if we have one global table where all invalid JWT tokens are saved and this db or micro service is down nothing works. With the kafka approach + client side deletion of JWT tokens for a normal user logout a downtime of kafka would in most cases not even be noticeable. Since the black lists are distributed among all microservies as an internal copy.

在关闭的情况下，你需要使一个被黑客攻击的用户无效，kafka宕机了，这就是问题开始的地方。在这种情况下，作为最后的手段改变秘密可能会有所帮助。或者在这样做之前确保卡夫卡已经起床了。

免责声明:我还没有实现这个解决方案，但不知怎么的，我觉得大多数提议的解决方案都否定了JWT令牌的想法，因为它有一个中央数据库查找。所以我在考虑另一种解决方案。

请让我知道你的想法，它是有意义的还是有一个明显的原因为什么它不能?

使用刷新jwt…

我采用的一种比较实用的方法是在数据库中存储一个刷新令牌(可以是GUID)和对应的刷新令牌ID(无论进行多少次刷新都不会改变)，并在生成用户的JWT时将它们作为用户的声明添加。可以使用数据库的替代方案，例如内存缓存。但我用的是数据库。

然后，创建一个JWT刷新Web API端点，客户机可以在JWT到期之前调用该端点。当调用刷新时，从JWT中的声明中获取刷新令牌。

在对JWT刷新端点的任何调用中，在数据库上验证当前刷新令牌和刷新令牌ID为一对。生成一个新的刷新令牌，并使用刷新令牌ID替换数据库上的旧刷新令牌。记住它们是可以从JWT中提取出来的声明

从当前JWT中提取用户的声明。开始生成一个新的JWT的过程。将旧的刷新令牌声明的值替换为新生成的刷新令牌，该刷新令牌也是新保存在数据库上的。完成所有这些后，生成新的JWT并将其发送给客户端。

因此，在使用了刷新令牌之后，无论是目标用户还是攻击者，在数据库上使用未与其刷新令牌ID配对的/刷新令牌的任何其他尝试都不会导致生成新的JWT，从而阻止任何拥有该刷新令牌ID的客户端不再能够使用后端，从而导致此类客户端(包括合法客户端)的完全注销。

这解释了基本信息。

The next thing to add to that is to have a window for when a JWT can be refreshed, such that anything outside that window would be a suspicious activity. For example, the window can be 10min before the expiration of a JWT. The date-time a JWT was generated can be saved as a claim in that JWT itself. And when such suspicious activity occurs, i.e. when someone else tries to reuse that refresh token ID outside or within the window after it has already been used within the window, should mark the refresh token ID as invalid. Hence, even the valid owner of the refresh token ID would have to log in afresh.

如果在数据库上找不到与所提供的刷新令牌ID配对的刷新令牌，则表明刷新令牌ID应该无效。因为空闲用户可能会尝试使用攻击者已经使用过的刷新令牌。

如前所述，在目标用户之前被攻击者窃取和使用的JWT，在用户尝试使用刷新令牌时也会被标记为无效。

唯一没有涉及的情况是，即使攻击者可能已经窃取了JWT，客户端也从未尝试刷新它。但是这种情况不太可能发生在不受攻击者监管(或类似)的客户端上，这意味着攻击者无法预测客户端何时停止使用后端。

如果客户端发起常规注销。应该通过注销从数据库中删除刷新令牌ID和相关记录，从而防止任何客户端生成刷新JWT。

另一种选择是为关键的API端点提供一个中间件脚本。 如果管理员使令牌失效，此中间件脚本将检入数据库。 这种解决方案可能适用于不需要立即完全阻止用户访问的情况。

Haven't tried this yet, and it is uses a lot of information based on some of the other answers. The complexity here is to avoid a server side data store call per request for user information. Most of the other solutions require a db lookup per request to a user session store. That is fine in certain scenarios but this was created in an attempt to avoid such calls and make whatever required server side state to be very small. You will end up recreating a server side session, however small to provide all the force invalidation features. But if you want to do it here is the gist:

目标:

减少数据存储的使用(无状态)。 能够强制注销所有用户。 能力强制注销任何个人在任何时间。 在一段时间后要求密码重新输入的能力。 能够与多个客户一起工作。 当用户从特定客户端单击注销时，强制重新登录的能力。(为了防止有人在用户离开后“取消删除”客户端令牌-查看评论了解更多信息)

解决方案:

Use short lived (<5m) access tokens paired with a longer lived (few hours) client stored refresh-token. Every request checks either the auth or refresh token expiration date for validity. When the access token expires, the client uses the refresh token to refresh the access token. During the refresh token check, the server checks a small blacklist of user ids - if found reject the refresh request. When a client doesn't have a valid(not expired) refresh or auth token the user must log back in, as all other requests will be rejected. On login request, check user data store for ban. On logout - add that user to the session blacklist so they have to log back in. You would have to store additional information to not log them out of all devices in a multi device environment but it could be done by adding a device field to the user blacklist. To force re-entry after x amount of time - maintain last login date in the auth token, and check it per request. To force log out all users - reset token hash key.

这要求您在服务器上维护一个黑名单(状态)，假设用户表包含禁止的用户信息。无效会话黑名单-是一个用户id列表。此黑名单仅在刷新令牌请求期间检查。只要刷新令牌TTL存在，条目就必须存在于该节点上。刷新令牌过期后，用户将被要求重新登录。

缺点:

仍然需要对刷新令牌请求执行数据存储查找。 无效的令牌可能会继续为访问令牌的TTL操作。

优点:

提供所需的功能。 在正常操作下，刷新令牌动作对用户隐藏。 只需要对刷新请求而不是每个请求执行数据存储查找。即每15分钟1次，而不是每秒1次。 最小化服务器端状态到一个非常小的黑名单。

With this solution an in memory data store like reddis isn't needed, at least not for user information as you are as the server is only making a db call every 15 or so minutes. If using reddis, storing a valid/invalid session list in there would be a very fast and simpler solution. No need for a refresh token. Each auth token would have a session id and device id, they could be stored in a reddis table on creation and invalidated when appropriate. Then they would be checked on every request and rejected when invalid.