我有一个ASP.Net Core 3.1的web-api应用程序,它使用MS Identity框架为登录的用户生成JWT令牌。
然后我有一个客户端应用程序(html,javascript)连接到该web-api。
我也有一个安卓应用程序连接到同一个web-api应用程序。
我想当一个用户从android应用程序登录时,从web客户端注销该用户。
这是对JWT令牌的挑战。要验证JWT令牌,客户端不需要与令牌发行商对话。如果客户端需要,那么使用JWT令牌就没有用了。
你可以按照下面的方法来处理注销的情况。
方法1)保持JWT令牌的寿命很短。
方法2)维护一个分布式缓存--在那里可以存储所有注销的JWT令牌,并在验证令牌之前与分布式缓存进行检查。