项目引入了JWT，在实现退出功能的时候，发现即使调用了相关接口废弃令牌，但是令牌仍然可以使用。查看原码才知道，使用的JwtTokenStore的removeAccessToken是个空方法。

查了下资料，看到以下这段话。

其实要完美地失效JWT是没办法做到的。 “Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token.” 有以下几个方法可以做到失效 JWT token： 1、将 token 存入 DB（如 Redis）中，失效则删除；但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤，而且违背了 JWT 的无状态原则（这不就和 session 一样了么？）。 2、维护一个 token 黑名单，失效则加入黑名单中。 3、在 JWT 中增加一个版本号字段，失效则改变该版本号。 4、在服务端设置加密的 key 时，为每个用户生成唯一的 key，失效则改变该 key。

最后决定使用Redis建立一个白名单，大体思路如下：

项目中使用的TokenStore为JwtTokenStore，JwtTokenStore的storeAccessToken是个空方法，我实现了方法，在该方法将token存入redis中，代码如下：

实现JwtClaimsSetVerifier，在verify方法中验证Redis中Jwt Token是否过期，代码如下：

客户端退出时，删除客户端存储的token,并调用服务器的接口删除服务器上存储的令牌，删除令牌最终调用的是tokenStore.removeAccessToken方法，所以只要实现该方法，就能达到删除令牌的效果，实现代码如下：