jwt 如何做在线踢人功能？

@fordoo #18

jwt 的出现就是为了无状态、不访问 db 。既然业务需求不能无状态，不如直接把 jwt 的签名、验证这一套省略了。用最简单的最直观的 session 模式。

直接不用 jwt ，jwt 本身就适合在服务间传递，减少用户中心这类服务的压力
浏览器，客户端认证用普通的 token （ cookie 里的 sessionid 也算 token ）

打电话给客户端使用者让他自己销毁

@ns09005264 负载均衡了解下

加一个黑名单的中间价

@fordoo 这样用户的其他端都会被踢掉，所有 token 失效，而不是单个

十月份才过去几天，第几个 JWT 帖子了。。。

token 时限设短，只有高危操作去验证用户账户状态，别的默认提供服务就可以了

其实最好的方法是不用 jwt

黑名单, 数据库存储黑名单

换个思路 把权限给禁掉就好了

数据库总用的吧，数据库中拉黑

因为 jwt 就是一个 token ，token 反解析出来可以获取到用户信息

数据结构类似于 ： key:token ,value:info

我提供的思路是

在获取到 token 后，再使用另外一个 map 存储，这个 map 的 key 是 用户账号（保证用户的唯一性即可），value 对应这个 token
这样就能够保证 ，知道哪些用户登录了，如果要踢人， 只需要根据 新定义的那个 map 找到 对应的 token (可能有多个)， 从 map 或者 redis 清理掉即可

1.缩小 token 的过期时间，10 分钟，5 分钟。3 分钟， 看具体的场景的需要。
2.token 中包含生成的时间， 刷新 token 的时候与数据库中的最新刷新时间做比较，如果小于则返回需要重新登录。
3. 上面二条并不能保证及时性， 有条件加个消息推送的机制，这样就很及时了。

@hongfs 生活压力大..最近太多人转行程序员了..只能找一些 10 年未维护的老旧项目接手(面试的人也不懂技术)...产品就会把遗留问题丢给新手..

把用户禁了

这个需求跟 jwt 存在的意义互斥

一个令人费解的设计就是明明服务请求都落中心数据库，别人建议用 redis 做个 session ，却说 jwt 适合分布式，没有单点。很奇怪。

判断 用户+签发时间， 早于“踢”的失效？

把 signing key 删了，token 失效