怎么让jwt失效？

因为jwt是无状态的，所以只要颁发了，在过期时间内都是可以信任的。

当用户修改了密码或者注销某个用户，这个时候我们需要让之前颁发的还没有过期的token失效。

一种简单的方式是客户端删除token，并且缩短jwt的过期时间。这种实现起来最简单，但是老token在过期时间内如果被窃取了是通过认证可以访问服务器资源的。

要想让token立即失效，那必须在服务端存储状态列表，每一次请求的token认证需要增加一步去列表中验证。常用的有白名单和黑名单两种实现方式。

白名单方式可以使用redis存储有效token，并设置过期时间，认证的时候去redis判断token是否存在。

黑名单方式可以使用redis存储失效token，并设置剩余过期时间，认证的时候判断token是否失效。redis设置剩余过期时间主要就是为了减少失效token的数据量，减轻服务器压力。

黑名单方式相比白名单方式可能服务器存储的数据量更少，验证时候的性能损耗更少一些。

总结一下，没有一劳永逸的技术方案，只有永远在变的需求，至少目前是这样