让我们考虑一个特殊的场景,管理员(Admin A)登录并开始在系统上做一些管理工作。突然,另一个管理员(SuperAdmin)出于某种原因想要将管理员 A 降级为普通用户。然而,即使现在Admin A 只是一个普通用户,他的token 仍然是一个Admin token。所以,他仍然可以做管理工作,直到令牌在一小时内自动过期。
那么,在这种情况下,手动使该令牌过期的方法是什么?系统是否应该使用数据库查询来检查每个管理路由的用户级别?或者有没有其他方法可以实现这一目标?
有没有办法配置核心网关来检查令牌的验证?
我认为,如果我在 coregateway 中检查每个请求的令牌验证,我们会产生很多开销,并且在我看来会破坏使用 JWT 的全部目的。