Jwt 自动令牌失效

我有一个使用JWT声明授权用户角色的场景。 但是，当管理员吊销用户的角色时，如何使JWT令牌无效

---

并提示用户再次登录？

这里的一种方法是维护已撤销JWT令牌的黑名单缓存。如果用户的访问需要在其令牌中的

exp

声明尚未过期时撤销，则管理员会将其JWT添加到缓存中。这也意味着授权和/或身份验证过程的一部分现在将涉及点击这个黑名单缓存，以确保任何传入的JWT都没有被撤销。但是，如果结构良好，命中缓存的代价很小（大约是命中数据库代价的1/100）

此黑名单缓存还可用于存储已使用有效令牌注销的用户的JWT。同样，这是一个用户逻辑上已注销的场景，但其令牌中的

exp

声明仍然表示JWT是活动的。将JWT添加到相同的黑名单缓存也是处理此用例的一种方法