jwt的规范目前只检测jwt的发布者,过期时间,签名等信息.大部分现成的库都是按照标准写的.但是标准没有要求jwt带入登录时间等信息,因此用户连续登录多次,后台返回的token在有效期内都能访问后台api.也就是用户可以在多个设备同时登录.
有人会采用在登录时将jwt用redis等储存起来,在api的中间件检查时去查数据库中是否储存了这个token,设置过期时间.如果用户再次登录,那么将该token用新生成的token替代.
我们也可以不新建一个表,因为我们多数应用的用户表中都会储存用户的最后登录时间,最后登录ip等信息,我们可以在登录时将这些信息一边储存到数据库中,一边注入到jwt中.然后在用户访问api时在中间件中从中间件取出这些信息,和用户表中的信息进行对比,如果不符合,就不允许用户访问api.
