Как получить масштаб JWT с безопасностью сеансов? [закрыто] ⇐ Javascript

[Anonymous]

Я пытаюсь придумать, как создать очень безопасную и масштабируемую систему аутентификации; однако я столкнулся с дилеммой. Я понял, что JWT более масштабируем, чем сеансы, поскольку вам не нужно создавать дополнительный запрос для проверки токена, поскольку JWT не имеет состояния. Но я считаю, что сам по себе JWT небезопасен или, лучше сказать, неудобен, потому что токен не может быть признан недействительным; для этого мне пришлось бы создать токен обновления и сделать JWT недолговечным, но я бы не хотел, чтобы токен был действителен в течение 15 минут без возможности его остановить, а также токен обновления добавляет накладные расходы. Я также рассмотрел возможность внедрения черного списка и проверки каждого запроса на наличие токена в черном списке, но это привело бы к большим накладным расходам. Ну, как видите, я здесь немного заблудился.
Мне нужна безопасность и производительность. Есть какие-нибудь советы по этому поводу?

Подробнее здесь: https://stackoverflow.com/questions/798 ... f-sessions