Блог

Я пытался создать механизм аутентификации для распределенной системы. Теперь я хочу заменить традиционную аутентификацию на основе сеанса cookie (хранение данных в хранилище пар значений ключей) токенами JWT, чтобы мне не нужно было распределенное хранилище пар значений ключей, но теперь проблема заключается в аннулировании этого токена для выхода из системы. Я не хочу хранить какую-либо информацию о сеансе, связанную с решением сеанса.

1. Я думал каждый раз менять секрет, но он будет выходить из всех пользовательских сеансов. Я просто хочу аннулировать только конкретный сеанс.
2. Другой подход, который я рассматривал как черный список токенов и хранение недопустимых токенов в Redis со временем, чтобы оставить значение до истечения оставшегося срока действия этого токена JWT, но он зацикливает меня на той же проблеме использования хранилища ключ-значение. Хотя это потребует меньше памяти, чем подход, основанный на сеансе.

Возможно ли это без введения хранилища данных? Что вы думаете по этому поводу?