这个并不是答案,放在这里而不是评论区是为了更多的人看到,不要踩我?
@lsxiao 你提出这个并发问题我才意识到jwt的这个缺陷,不过读到https://segmentfault.com/q/10... 这里@我只想帮妈妈洗碗 的回答我突然想到:
如果不是持续刷新token,而是过期前3分钟刷新token,刷新token把旧的token放入黑名单。后续校验一个token是不是在黑名单的时候放宽1分钟(就算在黑名单,但是距离放入黑名单的时间小于1分钟认为有效)就可以解决新token发放后旧token的请求失败的问题。
所以jwt的方案还是要有数据库存储黑名单的,不然没办法解决注销问题(但如果有数据库的存在,跨服务器的校验又是一个问题,如果再弄个认证服务器,感觉更复杂了)。现在还是非常困扰怎么更合理的解决jwt的续签和注销的问题。没有看到比较完善的文档。望大神们指教?
更新:
最近又对这个问题思考了一下,意识到并发问题其实是自寻烦恼,并发的起源是黑名单,加入黑名单的原因是要续签,所以最根本的问题是续签问题。那么续签的方式其实跟cookie是两个方式:
cookie是每次访问对旧的sid进行延期,这个延期实际上是个定值。
token的更新是个区间值,比如在网页端,如果cookie的有效期是30min,那么对一个token设置30min有效期和30min续签期。用户第二次访问如果在30min(非续签有效期)内不续签,第三次访问超过30min就退出了登录;如果第二次访问在30min~1h(续签有效期),那么进行续签,第三次访问超过1h就退出了登录。所以用户的登录有效期就是30min~1h。
那么黑名单其实是