세션 대 해지 서비스가있는 JWT 인증

Question

세션 기반 인증과 달리 JWT 인증은 분산 시스템에서 구현하기가 쉽지 않습니다. 전통적인 세션 인증을 사용하면 공유 캐시 (단일 실패 지점) 또는 분산 캐시 (고유 한 복잡성 세트가 함께 제공됨)가 필요합니다.

예를 들어 사용자를 "로그 아웃"하기 위해 토큰 블랙리스트와 같은 해지 서비스를 추가하지 않고 위에서 설명한 세션 인증과 동일한 번거 로움을 소개합니까?

Answer 1

예, 그렇습니다. 블랙리스트를 추가하면 서버 공간이 필요없는 등 JWT의 장점 중 일부가 손실 될 수 있습니다. 여러 대의 서버가있는 캐시를 사용하는 경우 복제 메커니즘이 필요합니다.

그러나 블랙리스트를 사용하고 작은 새로 고침 시간을 설정하는 대신 토큰이 만료되는 것을 허용하는 것이 일반적인 가정입니다.

토큰을 무효화하는 몇 가지 일반적인 기술을 보려면 here을보십시오