Ho letto OAuth2 e la sua statelessness utilizzando JWT come token. Il token scade in base al tempo scaduto, quindi come posso controllare il token come lista nera e bloccarne l'accesso immediatamente senza essere in stato?
Per quanto ho trovato la soluzione è necessario un database che memorizzi la lista nera dei token. Allora qual è il diverso con l'approccio stateful?
Questo è in realtà uno degli avvertimenti di JWT completamente privi di stato. Non puoi invalidare un token specifico. Puoi invalidarli tutti cambiando il tuo segreto sul server, tuttavia questa operazione revocherà tutte le JWT, non solo una sola.
Se desideri introdurre la lista nera, sfortunatamente non hai altra scelta che introdurre un id nel payload del tuo token e verificarne lo stato rispetto a qualche tipo di database, come hai sottolineato.
Leggi altre domande sui tag web-services jwt oauth2