根据Matt Way在这篇文章中的回答:使JSON Web令牌失效
关于使用令牌黑名单的#2解决方案,但我有一个问题,服务器如何确切地知道旧令牌并将其添加到黑名单中。例如:当我登录时,我从服务器收到"ABCD"令牌,服务器不会将此令牌保存在任何地方。然后我更改密码(或注销(,服务器应该向我发送一个新令牌,例如"EFGH"并使旧的"ABCD"无效(通过将"ABCD"添加到黑名单直到过期日期(,但问题是服务器如何知道"ABCD"旧令牌添加到黑名单中?
要执行与帐户相关的操作,连接时生成的 JWT 令牌必须存在于请求的标头中(通常在Authorization标头中(。
客户端将存储令牌,并在必要时将其发送到服务器以对自身进行身份验证。
服务器只需检索标头中存在的令牌即可使其无效并在必要时将其列入黑名单。