Я действительно хочу использовать JWT для доступа к API, чтобы он оставался без гражданства. Но в то же время мне нужно иметь надежные средства защиты, чтобы блокировать токены, срок действия которых еще не истек.
Для API с более конфиденциальной информацией о пользователе я могу полагаться на принудительный новый вход в систему, сравнение IP-адреса и т. д. Но я все же хочу иметь возможность отозвать токен пользователя, если это необходимо. Я не против заплатить накладные расходы.
Я предполагал, что каждый пользователь создаст свой собственный секретный ключ на основе своего пароля и сохранит его в сеансе. Я не против обменять накладные расходы на более простой способ борьбы с украденными токенами. Таким образом, простой сброс пароля должен сделать старые токены недействительными.
Признавая компромисс, имеет ли смысл этот метод? Есть ли лучшие способы сделать это?