在本例中，我假设最终用户也有一个帐户。如果不是这样，那么其他的方法也不太可能奏效。

创建JWT时，将其持久化到数据库中，并与正在登录的帐户相关联。这意味着您可以从JWT中提取关于用户的其他信息，因此根据环境的不同，这可能是可行的，也可能是不可行的。

对于之后的每个请求，不仅要执行您所使用的框架附带的标准验证(我希望)(验证JWT是否有效)，还包括用户ID或另一个令牌(需要与数据库中的令牌匹配)之类的东西。

注销时，删除cookie(如果使用)，并从数据库中使JWT(字符串)无效。如果不能从客户端删除cookie，那么至少注销过程将确保令牌被销毁。

我发现这种方法，加上另一个唯一标识符(数据库中有2个持久化项，可用于前端)，会话具有很强的弹性

为什么不直接使用jti声明(nonce)并将其作为用户记录字段存储在列表中(依赖于db，但至少是逗号分隔的列表)?不需要单独查找，正如其他人指出的那样，假设您无论如何都想获得用户记录，这样您就可以为不同的客户端实例拥有多个有效的令牌(“到处注销”可以将列表重置为空)

在内存中做一个这样的列表

user_id   revoke_tokens_issued_before
-------------------------------------
123       2018-07-02T15:55:33
567       2018-07-01T12:34:21

如果您的令牌在一周内过期，则清除或忽略更早的记录。同时只保留每个用户的最新记录。 列表的大小取决于您保留令牌的时间以及用户撤销令牌的频率。 仅当表发生变化时才使用db。在应用程序启动时将表加载到内存中。

我是这样做的:

生成一个唯一的散列，然后将其存储在redis和JWT中。这可以称为会话 我们还将存储特定JWT发出的请求数量——每次JWT被发送到服务器时，我们将请求增加整数。(这是可选的)

因此，当用户登录时，将创建一个唯一的散列，存储在redis中并注入到JWT中。

当用户试图访问受保护的端点时，您将从JWT中获取唯一的会话散列，查询redis并查看它是否匹配!

我们可以以此为基础，让我们的JWT更加安全，如下所示:

每个特定JWT发出的X请求，我们生成一个新的唯一会话，将其存储在我们的JWT中，然后将前一个会话列入黑名单。

这意味着JWT是不断变化的，并防止过时的JWT被黑客攻击、窃取或其他东西。

上面的想法很好，但是有一种非常简单的方法可以使所有现有的jwt无效，那就是简单地改变秘密。

如果您的服务器创建了JWT，用一个秘密(JWS)对其进行签名，然后将其发送给客户端，简单地更改秘密将使所有现有的令牌无效，并要求所有用户获得一个新的令牌进行身份验证，因为他们的旧令牌突然根据服务器变得无效。

它不需要对实际的令牌内容(或查找ID)进行任何修改。

显然，这仅适用于当您希望所有现有令牌过期时的紧急情况，对于每个令牌过期，需要上述解决方案之一(例如短令牌过期时间或令牌内存储的密钥无效)。

即使从存储中删除令牌，它仍然有效，但只是在短时间内有效，以降低它被恶意使用的可能性。

您可以创建一个拒绝列表，一旦从存储中删除令牌，就可以将令牌添加到该列表中。如果你有一个微服务，所有其他使用这个令牌的服务都必须添加额外的逻辑来检查这个列表。这将集中您的身份验证，因为每个服务器都必须检查一个集中的数据结构。