Dois-je stocker des jetons JWT dans Redis?

TLDR: Si vous voulez pouvoir révoquer le jeton à un moment donné, oui, stockez-le dans quelque chose de rapide comme Redis.

L'un des inconvénients bien documentés de l'utilisation de JWT est qu'il n'existe aucun moyen simple de révoquer un jeton si, par exemple, un utilisateur doit être déconnecté ou si le jeton a été compromis. Révoquer un jeton signifierait le rechercher dans un espace de stockage, puis décider quoi faire ensuite. Étant donné que l'un des points du JWT est d'éviter les allers-retours vers la base de données, un bon compromis serait de le stocker dans quelque chose de moins taxant qu'un rdbms. C'est un travail parfait pour Redis.

Comme suggéré dans les commentaires, une bonne approche consiste à faire de la liste une liste noire (c'est-à-dire une liste de jetons invalidés). À chaque demande, vous recherchez la liste pour vous assurer que le jeton n'y est pas présent. Vous pouvez encore améliorer l'espace mémoire et les performances lors de l'étape de recherche en utilisant un algorithme probabiliste pour stocker le jeton. Une implémentation simple consiste à ne pas stocker l'intégralité du jeton dans la liste noire redis. Stockez simplement les premiers caractères du jeton. Vous pouvez ensuite stocker une version plus complète de la liste noire en utilisant une solution plus persistante (système de fichiers, rdbms, etc.). Il s'agit d'une recherche optimiste qui vous indiquera encore rapidement qu'un jeton n'est pas présent dans la liste noire (ce qui serait le cas le plus courant). Si un jeton recherché correspond à un élément de la liste noire de redis (car ses premiers caractères correspondent), passez à une recherche supplémentaire dans le magasin persistant. Un autre algorithme plus efficace et relativement simple à implémenter est le filtre Bloom.