私はhapijsでjwtプラグインと戦略を使用しています。
ログイン時に jwt トークンを作成し、'jwt' 戦略を通じて同じトークンを使用して他の API を認証できます。
トークンを、トークン名が入っrequest.state.USER_SESSION
た Cookie として設定していますUSER_SESSION
。また、これらのトークンをデータベースに保存していません。
しかし、ログアウト時に jwt トークンを破棄するにはどうすればよいでしょうか?
方法を提案してください。
ベストアンサー1
JWTはブラウザに保存されるため、クライアント側でCookieを削除してトークンを削除します。
有効期限前にサーバー側からトークンを無効にする必要がある場合、たとえばアカウントの削除/ブロック/停止、パスワードの変更、権限の変更、管理者によるユーザーのログアウトなど、JSON Web トークンの無効化ブラックリストの作成やトークンのローテーションなどの一般的なテクニック