我阅读过的每篇文章都证明了JWT的优势,其中的优势之一就是它可以将auth系统分布在多个服务器上。即。您不必依赖用户身份验证详细信息的中央存储库来对每个请求进行查找。
但是,在实现方面,我在很多地方都读到,为了增加安全性,您不应该仅依赖JWT签名验证本身,还应该维护服务器生成的黑名单或白名单令牌的列表。
这是否破坏了我上面列出的优势,因为令牌列表需要集中存储在所有服务器都可以访问的位置,并且需要在每个请求上进行查找?
人们如何最终实现这一目标?