如果我在用户表存一个 key ,作为该用户 jwt 的 secret 。这样用户注销或重置密码,重新设置用户表的 key 。之前的 jwt 是不是就不能验证成功,是不是就实现了强制下线。(这个方案前提是数据库不能泄露)
This topic created in 1367 days ago, the information mentioned may be changed or developed.
 | 1 cheng6563 Aug 22, 2022 那直接把 key 当做 token 岂不更秒? |
 | 2 PerFectTime Aug 22, 2022 那这样和 token 有啥区别,为什么要用 jwt |
 | 3 neptuno OP |
 | 4 justfindu Aug 22, 2022 你密钥都变了, 然后你怎么验证给过来的 payload 是真实有效的? 然后你无法验证是真实有效的, 你怎么能拿里面的 sub 来验证查询是哪一个对应的 key ? 是不是整个逻辑就不通了. |
 | 5 johnli Aug 22, 2022 你这思路看起来也没问题 |
 | 7 cozof Aug 22, 2022 via iPhone 加一个黑名单机制,把要下线的 jwt 加入黑名单。 |
Select Language