上面的想法很好，但是有一种非常简单的方法可以使所有现有的jwt无效，那就是简单地改变秘密。

如果您的服务器创建了JWT，用一个秘密(JWS)对其进行签名，然后将其发送给客户端，简单地更改秘密将使所有现有的令牌无效，并要求所有用户获得一个新的令牌进行身份验证，因为他们的旧令牌突然根据服务器变得无效。

它不需要对实际的令牌内容(或查找ID)进行任何修改。

显然，这仅适用于当您希望所有现有令牌过期时的紧急情况，对于每个令牌过期，需要上述解决方案之一(例如短令牌过期时间或令牌内存储的密钥无效)。

在本例中，我假设最终用户也有一个帐户。如果不是这样，那么其他的方法也不太可能奏效。

创建JWT时，将其持久化到数据库中，并与正在登录的帐户相关联。这意味着您可以从JWT中提取关于用户的其他信息，因此根据环境的不同，这可能是可行的，也可能是不可行的。

对于之后的每个请求，不仅要执行您所使用的框架附带的标准验证(我希望)(验证JWT是否有效)，还包括用户ID或另一个令牌(需要与数据库中的令牌匹配)之类的东西。

注销时，删除cookie(如果使用)，并从数据库中使JWT(字符串)无效。如果不能从客户端删除cookie，那么至少注销过程将确保令牌被销毁。

我发现这种方法，加上另一个唯一标识符(数据库中有2个持久化项，可用于前端)，会话具有很强的弹性

我是这样做的:

生成一个唯一的散列，然后将其存储在redis和JWT中。这可以称为会话 我们还将存储特定JWT发出的请求数量——每次JWT被发送到服务器时，我们将请求增加整数。(这是可选的)

因此，当用户登录时，将创建一个唯一的散列，存储在redis中并注入到JWT中。

当用户试图访问受保护的端点时，您将从JWT中获取唯一的会话散列，查询redis并查看它是否匹配!

我们可以以此为基础，让我们的JWT更加安全，如下所示:

每个特定JWT发出的X请求，我们生成一个新的唯一会话，将其存储在我们的JWT中，然后将前一个会话列入黑名单。

这意味着JWT是不断变化的，并防止过时的JWT被黑客攻击、窃取或其他东西。

这主要是一个很长的评论，支持并建立在@mattway的回答上

考虑到:

本页上提出的其他一些解决方案提倡对每个请求都访问数据存储。如果您使用主数据存储来验证每个身份验证请求，那么我认为使用JWT而不是其他已建立的令牌身份验证机制的理由就更少了。如果每次都访问数据存储，那么实际上JWT是有状态的，而不是无状态的。

(如果您的站点接收到大量未经授权的请求，那么JWT将在不访问数据存储的情况下拒绝它们，这很有帮助。可能还有其他类似的用例。)

考虑到:

真正的无状态JWT身份验证无法在典型的、真实的web应用程序中实现，因为无状态JWT无法为以下重要用例提供即时和安全的支持:

用户帐号被删除/屏蔽/挂起。 完成用户密码的修改。 用户角色或权限发生变更。 用户被admin注销。 JWT令牌中的任何其他应用程序关键数据都由站点管理员更改。

在这些情况下，您不能等待令牌到期。令牌失效必须立即发生。此外，您不能相信客户端不会保留和使用旧令牌的副本，无论是否是出于恶意。

因此:

我认为来自@mat -way的答案，#2 TokenBlackList，将是向基于JWT的身份验证添加所需状态的最有效方法。

您有一个黑名单保存这些令牌，直到它们的过期日期。与用户总数相比，代币列表将非常小，因为它只需要保留黑名单上的代币直到到期。我将通过在redis、memcached或其他支持设置密钥过期时间的内存数据存储中放置无效的令牌来实现。

对于每个通过初始JWT身份验证的身份验证请求，仍然需要调用内存中的数据库，但不必将整个用户集的密钥存储在其中。(对于一个特定的网站来说，这可能是也可能不是什么大问题。)

在内存中做一个这样的列表

user_id   revoke_tokens_issued_before
-------------------------------------
123       2018-07-02T15:55:33
567       2018-07-01T12:34:21

如果您的令牌在一周内过期，则清除或忽略更早的记录。同时只保留每个用户的最新记录。 列表的大小取决于您保留令牌的时间以及用户撤销令牌的频率。 仅当表发生变化时才使用db。在应用程序启动时将表加载到内存中。

我来晚了一点，但我想我有个不错的解决办法。

我在数据库中有一个“last_password_change”列，用于存储密码最后一次更改的日期和时间。我还将发布日期/时间存储在JWT中。在验证令牌时，我会检查在令牌发出后密码是否已更改，如果已更改，即使令牌尚未过期也会被拒绝。