JWT 可以实现 stateless authentication，但是 refresh token 不是无状态的，那 JWT 的意义是什么？

refresh token 为啥要存 user 对应关系？ user id 在 token 里，解出来用就行了。

@rrfeng #1 你可以看一下 https://stackoverflow.com/questions/27726066/jwt-refresh-token-flow/54378384#comment101517189_54378384

因为 refresh token 不是 JWT 的内容，而是 OAuth 的格式，只是有些框架 or 包使用 JWT 来传递 OAuth 的内容罢了。

从 JWT 的格式来看，一旦授权发出令牌，那么就不能在过期之前对令牌的权限做些什么，一旦想做什么，比如说服务端注销，那么就一定会有状态。所以 JWT 只适合特定场景。

我以前也问过类似的问题，可以看下

吹捧新技术概念追赶潮流,然后发现还是需要对用户进行管理比如踢下线封号等等,然后强行又做回 session 那一套

特定场景使用吧，可以维护个 token 黑名单来实现 token 过期，但是感觉不太美好

本来用的 JWT，后来有一处登录和登出的功能。
然后就填一个黑名单到 redis 里面去，但是这样每次认证都要去查一次 redis

那为啥不直接用 uuid 做 token，然后直接去查一次 redis 获取用户信息结束了？

@baiyi #3 你的那个问题是 https://www.v2ex.com/t/381996 吧？我把它移过来，方便大家查看。

@qwerthhusn 请问什么场景要实现登出功能，一般不是前端删了 cookie 就完事了。如果前端没有按预期删除，那是前端非法使用，感觉也不会造成什么问题吧

jwt 在业务中,不用查库就能知道用户基本信息，只要占点 cpu 校验下。我觉得这个就是他的价值。

@LeeReamond 前端其实算是用户侧的东西了，前端非法使用可以代表用户非法使用，这锅前端不背。

@IvanLi127 当然是指用户非法。。前端这也能杠。。我的意思是什么业务场景要做登出黑名单？

实际上大部分场景就是当 session，为了实现前后分离 与客户端在线限制

@LeeReamond

当 token 被盗取了，用户紧急下线，添加至黑名单（直到过期），防止被盗取的 token 继续生效。

@DOLLOR 这个就比较魔幻了，jwt 本身是 httponly 的，除非用户开 f12 控制台，把 jwt 抄下来发给别人。。。我感觉这种场景并不多见

@JasonLaw #2

重签的时候，直接打开 refresh token 判断是不是过期，然后拿着 key 再签出一个的 access token 。

某种程序上说，access token 和 refresh token 的最大区别在于时间长短，并且用短时间的 access token 来做请求。

@LeeReamond #14

从 token 角度说，存在泄漏的问题，token 的信息存在于服务端的话，那么重新建一个就 ok 。
但 jwt 没办法做到，因为 auth 只是判断 jwt 有没过期， 解出的 auth key 是不是对的。

所以需要有一个机制来控制 token 的生命周期。

@LeeReamond #11 没杠你，我想表达的是前端的行为无法控制，在删了之前 token 都可能泄露。登出是为了让用户能撤销这个授权。非法使用得后端程序知道了才行，不然在后端眼里，他不知道这 token 非法了。

@LeeReamond #14

换句话说，jwt 是基于时间来控制 token 的有效，在签出的时候已经决定有效期。

另外 2 个可以的场景，sso 情况下，

1.
修改密码后，那么旧的签出 token 必须失效，这时候必须有一个地方来记录 某用户时间点以前的 token 全部不能使用；

2.
只允许一个设备（ token ）登录，那么每次拿到新的 access 后，必须禁用这个时间点前的 token ；

@IvanLi127 相比 redis 查内存中的数据有优势吗

@LeeReamond 场景不多见问题是影响大
R 小 L 大的场景仍然是需要防御的。