看了下面一些文章,感觉最重要的几点总结如下:
1、Token一旦产生,变不能主动使其失效的,除非过期。
2、注意JWT的使用场景,无状态。不建议使用JWT维护会话状态,不建议试图通过jti黑名单或者服务端存储or缓存的方式使其变得有状态。可能违背JWT的初衷。
3、既然有了第2个问题,所以建议尽量不要想着刷新Token、延期Token。
4、客户端可以删除Token的存储,Token丢失就意味着认证失败,需要重新登录。
不知道认知是否正确,一起学习。
参考文章:
https://blog.csdn.net/kevin_lcq/article/details/74846723
https://www.zcfy.cc/article/json-web-tokens-jwt-vs-sessions-685.html
https://jwt.io/(官网)
https://www.cnblogs.com/JacZhu/p/6837676.html
http://bitoftech.net/2014/10/27/json-web-token-asp-net-web-api-2-jwt-owin-authorization-server/
https://dotblogs.com.tw/wellwind/2016/11/24/jwt-auth-web-api
https://stackoverflow.com/questions/40281050/jwt-authentication-for-asp-net-web-api(微软官方类库实现方式,功能很全,感觉有点重)
https://github.com/dvsekhvalnov/jose-jwt(JOSE-JWT官方Github)
https://www.cnblogs.com/grissom007/p/6294746.html
https://www.blinkingcaret.com/2017/09/06/secure-web-api-in-asp-net-core/
https://blogs.msdn.microsoft.com/webdev/2017/04/06/jwt-validation-and-authorization-in-asp-net-core/
https://blog.csdn.net/sd7o95o/article/details/78852450