JWT как убивать сессии?

А смысл тогда создавать JWT токен, если вы только его ID передаете? JWT это обьект позволяющий хранить состояние сессии на клиенте, но если вы работаете с ID, то он и будет являеться указателем на сессию и уже по ID вы востановите состояние, зачем тогда JWT прослойка?

Петр, JWT и Reference Token - это разные виды токенов. Нет никакой прослойки.

Илья, И что это меняет, что они разные? JWT это состояние сессии и при этом защищенное, чтобы уменьшить вероятность подделки. Если вы переходите на ID то вам получается абсолютно не нужна эта защищенность, она то и является лишней прослойкой. А значит и не нужен JWT. Эта технология хороша там, где вам нужно проверять авторизацию пользователя, но у вас при этом нет возможности (или она сильно ограничена) это сделать напрямую. Для примера при обращениях к устройствам, что доступны по сети, но которым не доступен интернет.

Петр, да. Я написал в ответе, что функцию, которую хочет человек, JWT не реализует и надо пользоваться другим решением. В чем противоречие?

Илья, Противоречие в уникальном ID на токен. Так как это опускает безопасность ниже плинтуса. Тут либо у вас безопасная система JWT на JWT, либо не безопастная ID. Остальные варианты, это плохая не продуманная архитектура.

Петр, это стандартное решение, для него есть RFC Если вам оно кажется небезопасным, то можете написать в комитет и предложить им свою консультацию.