JWT jti唯一性

我在理解如何在JWT中使用jti声明时遇到了一些困难。就我在其他SO问题和在线文档中所见，他们的想法是他们应该是唯一的，但在什么范围内是唯一的？每个站点/应用程序的jti？每个令牌/用户的jti？如果我有一个特定于用户的jti，这不就是撤销JWT无状态的点吗，因为我需要以某种方式跟踪令牌吗

我很想得到一些帮助，了解如何使用jti，或者如果我根本不需要它。

jti在应用范围内应该是唯一的，以防止两个相等的JWT

看

4.1.7。jti JWT ID索赔

jti JWT ID声明为JWT提供了唯一标识符。 标识符值的分配方式必须确保 相同的值出现的可能性可以忽略不计 意外地分配给不同的数据对象；如果应用程序 使用多个颁发者，必须防止值之间发生冲突 由不同的发行人制作。可以使用jti索赔 防止重播JWT。jti值就是一个例子- 敏感字符串。此声明的使用是可选的

---

如果您需要一个黑名单来撤销令牌，并确保相同的JWT在包含相同内容但没有时间戳声明的情况下不会发布两次，那么它可能会很有用。

我认为相同的JWT不会发布两次是让我感到不快的。在同一个应用程序中，同一个用户将获得相同的令牌，除非更改时间戳，否则我也不确定多久重新发布一次令牌；在每个页面上，负载似乎都过多，但这是一个完全不同的问题。