Ранее я задал длинный вопрос относительно безопасности токенов JWT, но хочу сосредоточиться именно на аннулировании токена JWT. Я использую JWT в качестве своего основного механизма аутентификации для аутентификации мобильных клиентов мобильного приложения. Мой вопрос: стоит ли использовать отмену токена? В настоящее время я использую короткий срок для своих токенов, и я полагаюсь на TLS, чтобы предотвратить использование токенов неавторизованными пользователями. Я не реализовал отмену токенов. Но в основном это означает, что если токен украден каким-то образом, его нельзя отменить. Больше всего меня беспокоит то, что когда пользователь выходит из приложения, последний токен, который они использовали, все еще работает, если я не могу его отменить. И это также означает, что я не могу установить ограничение на количество токенов, которые пользователь может запросить, так как я не отслеживаю какие-либо маркеры, которые выпущены. Я видел много приложений, которые просто хранят все выпущенные токены в базе данных, позволяя им отзывать и регулировать токены. Но это просто похоже на то, чтобы победить цель использования JWT. Стоит ли добавлять такую сложность или моя текущая система защищена?
Спасибо заранее. Я ценю любую помощь.