RESTful API / JWT 是不是没法做登录会话管理啊

之前的一个项目是 RESTful API （可能也不是很标准啦），用的 JWT 做认证。现在要加个会话管理的功能，可以查看登录的会话（包括登录方式，IP 等信息），可以吊销某个会话。

目前想按照这篇文章的方式实现（结合 session 和 jwt 的方式）：
https://clerk.com/blog/combining-the-benefits-of-session-tokens-and-jwts

请问各位大佬们，你们都是怎么实现的啊？

wu67 · 2024-10-28 20:56:24

redis 里面存黑名单，命中就要求重登？

codehz · 2024-10-28 20:58:00

非要说的话，黑名单模式可以用布隆过滤器（定期重建并分发到每一个处理节点），有假阳性的时候才会去查数据库

sagaxu · 2024-10-28 21:00:58

加了集中式存储的 JWT ，那跟直接用 session 有啥区别

chobitssp · 2024-10-28 21:01:32

jwt 的颁发时间小于吊销时间就踢出

vZexc0m · 2024-10-28 21:16:26

和 JWT 的设计初衷背道而驰了。你这种直接用 cookie ，然后服务端管理 cookie 就行。

paradox8599 · 2024-10-28 22:31:09

那应该就不用 jwt 了，jwt 主打一个无状态

crysislinux · 2024-10-28 22:45:44

还是用传统 session 吧，jwt 干用户登录这个活儿是真的不太方便

wunonglin · 2024-10-28 22:54:46

就 session 啊，jwt 玩的是无状态，把 jwt 玩成有状态的话那么和不就是重新发明 session ？

hallDrawnel · 2024-10-29 01:35:55

直接用 session
或者不好改得话，做成 jwt 版本的 session 就 ok 。不用拘泥于标准。