Как банить юзера аутентифицированного jwt токеном без использования баз данных?

Question

[Имя Фамилия]

Допустим refresh и acess токены украдены.
Базы данных нет

Как такой вариант?

Создать для пользователя файл с именем ключа
при обращениях проверять токены этим ключом
и если бан то менять ключ, то есть имя файла конкретного пользователя

или база будет оптимальней?

тогда какой вообще смысл в JWT если ключ проверять всё равно в базе надо на блеклист?

Answer 1

[Петр]

А в чем смысл пользовательского пароля, если его все равно по БД проверять нужно?
acсess токен часто по сети передается, вероятность его угона выше, поэтому и имеет маленикий срок жизни.
refresh токен реже передается по сети и поэтому время жизни его больше.
Также refresh токен может обновлять acсess только через сервис Авторизации, а acсess токены для клиентских сервисов. Так в системах с "Единый вход в систему (SSO)"

Для блокировок в acсess и refresh можно задавать refId привязанный к пользователю и блокировать по нему.
Но все равно требуется хранилище, где информацию хранить, то есть БД

Comments

[Имя Фамилия]

ну то есть без базы данных не обойтись и всё равно нужно при каждом запросе лезть в базу и проверять что либо для аутентификации?

какой смысл тогда в этих токенах. и без токенов в базу лезть и с токеном тоже

[Петр]

User782, Так залезте разок и закешируйте

[Имя Фамилия]

Петр, ясно, просто думал JWT панацея от кеширования и базы данных, но оказывается нет.
проще для пользователя json создавать с данными и там проверять и ключ менять если украли токены. и база данных не нужна и память не засоряется кешем