JSON Webトークンの無効化

私が取り組んでいる新しいnode.jsプロジェクトの場合、Cookieベースのセッションアプローチから切り替えることを考えています（つまり、IDを、ユーザーのブラウザーでユーザーセッションを含むKey-Valueストアに格納します）。 JSON Web Token（jwt）を使用したトークンベースのセッションアプローチ（Key-Valueストアなし）に。

このプロジェクトは、socket.ioを利用するゲームです。単一のセッション（webおよびsocket.io）に複数の通信チャネルがあるようなシナリオでは、トークンベースのセッションがあると便利です。

jwtアプローチを使用して、サーバーからトークン/セッションの無効化をどのように提供しますか？

また、この種のパラダイムで注意する必要のある一般的な（または一般的でない）落とし穴/攻撃についても理解したいと思いました。たとえば、このパラダイムが、セッションストア/ Cookieベースのアプローチと同じ/異なる種類の攻撃に対して脆弱である場合。

だから、私は次のものを持っていると言います（これとこれから適応されます）：

セッションストアログイン：

app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        // Create session token
        var token= createSessionToken();

        // Add to a key-value database
        KeyValueStore.add({token: {userid: profile.id, expiresInMinutes: 60}});

        // The client should save this session token in a cookie
        response.json({sessionToken: token});
    });
}

トークンベースのログイン：

var jwt = require('jsonwebtoken');
app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        var token = jwt.sign(profile, 'My Super Secret', {expiresInMinutes: 60});
        response.json({token: token});
    });
}

-

セッションストアアプローチのログアウト（または無効化）では、指定されたトークンを使用してKeyValueStoreデータベースを更新する必要があります。

トークン自体にはキーと値のストアに通常存在する情報が含まれているため、このようなメカニズムはトークンベースのアプローチには存在しないようです。

私もこの質問を調査しており、以下のアイデアは完全な解決策ではありませんが、それらは他の人がアイデアを除外したり、さらに提案するのに役立つ可能性があります。

1）単にクライアントからトークンを削除する

明らかにこれはサーバー側のセキュリティには何もしませんが、トークンを存在から削除することで攻撃者を阻止します（つまり、ログアウト前にトークンを盗まなければなりませんでした）。

2）トークンブラックリストを作成する

無効なトークンを最初の有効期限まで保存し、着信リクエストと比較することができます。ただし、すべてのリクエストでデータベースにアクセスする必要があるため、そもそも完全にトークンベースになる理由は否定されているようです。ただし、ログアウトと有効期限の間のトークンのみを保存する必要があるため、ストレージサイズはおそらく小さくなります（これは直感であり、コンテキストに明らかに依存しています）。

3）トークンの有効期限を短くし、頻繁にローテーションする

トークンの有効期限を十分に短い間隔で維持し、実行中のクライアントに追跡を継続させ、必要に応じて更新を要求する場合、1は完全なログアウトシステムとして効果的に機能します。この方法の問題は、クライアントコードを閉じるまでの間にユーザーをログインしたままにしておくことができないことです（有効期限の間隔によって異なります）。

緊急時対応計画

緊急事態が発生した場合、またはユーザートークンが危険にさらされた場合、実行できることの1つは、ユーザーがログイン認証情報を使用して、基になるユーザールックアップIDを変更できるようにすることです。これにより、関連付けられているユーザーが見つからなくなるため、関連付けられているすべてのトークンが無効になります。

また、最後のログイン日をトークンに含めることをお勧めします。これにより、しばらくしてから再ログインを強制できるようになります。

トークンを使用した攻撃に関する類似点/相違点に関して、この投稿は次の質問を扱います：https : //github.com/dentarg/blog/blob/master/_posts/2014-01-07-angularjs-authentication-with-cookies -vs-token.markdown

上記のアイデアは良いですが、既存のJWTをすべて無効にする非常にシンプルで簡単な方法は、単に秘密を変更することです。

サーバーがJWTを作成し、シークレット（JWS）で署名してからクライアントに送信する場合、シークレットを変更するだけで既存のすべてのトークンが無効になり、古いトークンが突然無効になるため、すべてのユーザーが新しいトークンを取得して認証を受ける必要がありますサーバーへ。

実際のトークンの内容（またはルックアップID）を変更する必要はありません。

明らかにこれは、すべての既存のトークンを期限切れにしたい緊急の場合にのみ機能します。トークンの期限切れごとに、上記の解決策の1つが必要です（短いトークンの期限切れ、またはトークン内に保存されているキーの無効化など）。

これは主に、@ mattwayによる回答をサポートおよび構築する長いコメントです

与えられた：

このページで提案されている他のソリューションのいくつかは、すべてのリクエストでデータストアにアクセスすることを推奨しています。すべての認証リクエストを検証するためにメインデータストアにアクセスすると、他の確立されたトークン認証メカニズムの代わりにJWTを使用する理由が少なくなります。毎回データストアにアクセスする場合、ステートレスではなく、本質的にJWTをステートフルにしました。

（サイトが大量の未承認のリクエストを受け取った場合、JWTはデータストアにアクセスすることなくそれらを拒否します。これは便利です。おそらく他の使用例もあるでしょう。）

与えられた：

ステートレスJWTには、次の重要なユースケースに即時かつ安全なサポートを提供する方法がないため、真のステートレスJWT認証は、典型的な現実のWebアプリケーションでは実現できません。

ユーザーのアカウントが削除/ブロック/一時停止されています。

ユーザーのパスワードが変更されました。

ユーザーの役割または権限が変更された。

ユーザーは管理者によってログアウトされています。

JWTトークン内の他のアプリケーションの重要なデータは、サイト管理者によって変更されます。

これらの場合、トークンの有効期限を待つことはできません。トークンの無効化はすぐに行われる必要があります。また、悪意のある目的かどうかに関係なく、クライアントが古いトークンのコピーを保持して使用しないことを信頼することはできません。

したがって、@ matt-wayからの回答、＃2 TokenBlackListは、必要な状態をJWTベースの認証に追加する最も効率的な方法だと思います。

有効期限が切れるまでこれらのトークンを保持するブラックリストがあります。トークンのリストは、ブラックリストに登録されたトークンの有効期限が切れるまで保持する必要があるため、ユーザーの総数に比べてかなり少なくなります。無効化されたトークンをredis、memcached、またはキーの有効期限の設定をサポートする別のメモリ内データストアに配置して実装します。

それでも、初期JWT認証を渡すすべての認証リクエストに対してメモリ内のdbを呼び出す必要がありますが、ユーザーセット全体のキーをそこに格納する必要はありません。（これは、特定のサイトにとって重要な場合とそうでない場合があります。）

ユーザーモデルのjwtバージョン番号を記録しておきます。新しいjwtトークンは、バージョンをこれに設定します。

jwtを検証するときは、ユーザーの現在のjwtバージョンと同じバージョン番号であることを確認してください。

古いjwtを無効にしたいときはいつでも、ユーザーのjwtバージョン番号を変更してください。

まだこれを試していませんが、他のいくつかの回答に基づいて多くの情報を使用しています。ここでの複雑さは、ユーザー情報の要求ごとのサーバー側のデータストア呼び出しを回避することです。他のほとんどのソリューションでは、ユーザーセッションストアへのリクエストごとにdbルックアップが必要です。これは特定のシナリオでは問題ありませんが、このような呼び出しを回避し、必要なサーバー側の状態を非常に小さくするために作成されました。サーバー側のセッションを再作成することになりますが、すべての強制無効化機能を提供するには小さすぎます。しかし、あなたがそれをしたいなら、ここに要点があります：

目標：

• データストアの使用を軽減します（ステートレス）。
• すべてのユーザーを強制的にログアウトする機能。
• いつでも個人を強制的にログアウトする機能。
• 一定時間後にパスワードの再入力を要求する機能。
• 複数のクライアントと連携する能力。
• ユーザーが特定のクライアントからログアウトをクリックしたときに強制的に再ログインする機能。（ユーザーが立ち去った後に誰かがクライアントトークンを「削除解除」しないようにするため。追加情報についてはコメントを参照してください）

ソリューション：

• 存続期間が短い（5分未満）アクセストークンと、存続期間が長い（数時間）クライアントに保存された更新トークンを組み合わせて使用​​します。
• すべてのリクエストは、認証トークンまたは更新トークンの有効期限の有効性をチェックします。
• アクセストークンの有効期限が切れると、クライアントは更新トークンを使用してアクセストークンを更新します。
• 更新トークンのチェック中に、サーバーはユーザーIDの小さなブラックリストをチェックします-見つかった場合、更新要求を拒否します。
• クライアントに有効な（有効期限が切れていない）更新トークンまたは認証トークンがない場合、他のすべての要求は拒否されるため、ユーザーは再度ログインする必要があります。
• ログインリクエストで、ユーザーデータストアの禁止を確認してください。
• ログアウト時-そのユーザーをセッションブラックリストに追加して、再度ログインする必要があります。マルチデバイス環境ですべてのデバイスからログアウトしないようにするには、追加の情報を保存する必要がありますが、デバイスフィールドをユーザーのブラックリスト。
• x時間後に再入力を強制するには-認証トークンで最終ログイン日を維持し、リクエストごとに確認します。
• すべてのユーザーを強制的にログアウトするには、トークンハッシュキーをリセットします。

これには、ユーザーテーブルに禁止されたユーザー情報が含まれていると想定して、サーバーでブラックリスト（状態）を維持する必要があります。無効なセッションのブラックリスト-ユーザーIDのリストです。このブラックリストは、更新トークンリクエスト中にのみチェックされます。エントリは、更新トークンTTLである限り、その上に存在する必要があります。更新トークンの有効期限が切れると、ユーザーは再度ログインする必要があります。

短所：

• 更新トークンリクエストでデータストアルックアップを実行する必要があります。
• 無効なトークンは、アクセストークンのTTLに対して引き続き機能します。

長所：

• 必要な機能を提供します。
• トークンの更新アクションは、通常の操作ではユーザーに表示されません。
• すべてのリクエストではなく、リフレッシュリクエストでデータストアルックアップを実行する必要があるだけです。つまり、毎秒1回ではなく、15分ごとに1回。
• サーバー側の状態を最小限のブラックリストに最小化します。

このソリューションでは、reddisのようなメモリ内データストアは必要ありません。少なくともユーザー情報の場合は、サーバーが15分程度ごとにdb呼び出しを行うだけなので、必要ありません。reddisを使用する場合、有効/無効なセッションリストをそこに格納すると、非常に高速で簡単なソリューションになります。更新トークンは必要ありません。各認証トークンにはセッションIDとデバイスIDがあり、それらは作成時にreddisテーブルに保存され、必要に応じて無効化されます。次に、すべてのリクエストでチェックされ、無効な場合は拒否されます。

私が検討してきたアプローチiatは、JWT に常に（発行された）値を含めることです。次に、ユーザーがログアウトするときに、そのタイムスタンプをユーザーレコードに保存します。JWTを検証するときiatは、を最後にログアウトしたタイムスタンプと比較するだけです。iatが古い場合は無効です。はい、DBに移動する必要がありますが、JWTが有効である場合はとにかくユーザーレコードを常にプルします。

これについて私が目にする主な欠点は、複数のブラウザを使用している場合、またはモバイルクライアントも使用している場合、すべてのセッションからログアウトすることです。

これは、システム内のすべてのJWTを無効にするための優れたメカニズムにもなります。チェックの一部は、最後の有効iat時間のグローバルタイムスタンプに対するものである可能性があります。

私はここで少し遅れていますが、私はまともな解決策を持っていると思います。

データベースに「last_password_change」列があり、パスワードが最後に変更された日時が格納されています。発行日時もJWTに保存します。トークンを検証するときに、トークンの発行後にパスワードが変更されていないかどうか、またトークンが期限切れになっていないにもかかわらず拒否されたかどうかを確認します。

ユーザーのドキュメント/レコードのDBに「last_key_used」フィールドを設定できます。

ユーザーがuserでログインしてパスしたときに、新しいランダム文字列を生成し、last_key_usedフィールドに格納し、トークンに署名するときにペイロードに追加します。

ユーザーがトークンを使用してログインするときに、DBのlast_key_usedを確認して、トークン内のものと一致させます。

次に、たとえばユーザーがログアウトするとき、またはトークンを無効にする場合は、その「last_key_used」フィールドを別のランダムな値に変更するだけで、その後のチェックはすべて失敗し、ユーザーはユーザーでログインして再度パスする必要があります。

このようなメモリ内のリストを保持します

user_id   revoke_tokens_issued_before
-------------------------------------
123       2018-07-02T15:55:33
567       2018-07-01T12:34:21

トークンが1週間で期限切れになる場合は、それより古いレコードを消去または無視してください。また、各ユーザーの最新の記録のみを保持します。リストのサイズは、トークンを保持する期間と、ユーザーがトークンを取り消す頻度によって異なります。テーブルが変更された場合のみdbを使用します。アプリケーションの起動時にテーブルをメモリにロードします。

------------------------この回答には少し遅れますが、誰かに役立つかもしれません--------------- -----------

クライアント側から、最も簡単な方法は、ブラウザのストレージからトークンを削除することです。

しかし、ノードサーバー上のトークンを破棄したい場合はどうでしょうか。

JWTパッケージの問題は、トークンを破棄する方法または方法を提供しないことです。上記のJWTに関して、さまざまな方法を使用できます。しかし、ここでは、jwt-redisを使用します。

したがって、サーバーサイドでトークンを破棄するには、JWTの代わりにjwt-redisパッケージを使用できます

このライブラリ（jwt-redis）は、ライブラリjsonwebtokenの全機能を完全に繰り返しますが、重要な追加が1つあります。Jwt-redisを使用すると、トークンラベルをredisに保存して有効性を確認できます。redisにトークンラベルがないと、トークンは無効になります。jwt-redisでトークンを破棄するために、destroyメソッドがあります

それはこのように機能します：

1） npmからjwt-redisをインストールします

2）作成するには-

var redis = require('redis');
var JWTR =  require('jwt-redis').default;
var redisClient = redis.createClient();
var jwtr = new JWTR(redisClient);

jwtr.sign(payload, secret)
    .then((token)=>{
            // your code
    })
    .catch((error)=>{
            // error handling
    });

3）確認するには -

jwtr.verify(token, secret);

4）破壊する -

jwtr.destroy(token)

注意：JWTで提供されるのと同じように、トークンのサインイン中にexpiresInを提供できます。

これは誰かに役立つかもしれません

なぜjtiクレーム（nonce）を使用し、それをユーザーレコードフィールドとしてリストに格納しないのですか（dbに依存しますが、少なくともコンマ区切りのリストで問題ありません）。他の人がおそらくとにかくユーザーレコードを取得したいと指摘しているため、個別にルックアップする必要はありません。このようにして、さまざまなクライアントインスタンスに対して複数の有効なトークンを持つことができます（「ログアウトエブリウェア」はリストを空にリセットできます）。

1. トークンに1日の有効期限を与える
2. 毎日のブラックリストを維持します。
3. 無効化/ログアウトトークンをブラックリストに入れる

トークンの検証については、最初にトークンの有効期限を確認し、トークンの有効期限が切れていない場合はブラックリストを確認します。

長いセッションが必要な場合は、トークンの有効期限を延長するメカニズムが必要です。

パーティーの終わりに、私の2セントはいくつかの調査の後に以下に与えられます。ログアウト中に、次のことが起こっていることを確認してください...

クライアントのストレージ/セッションをクリアする

ログインまたはログアウトが発生するたびに、ユーザーテーブルの最終ログイン日時とログアウト日時をそれぞれ更新します。そのため、ログイン日時は常にログアウトより大きくする必要があります（または、現在のステータスがログインであり、まだログアウトされていない場合は、ログアウト日付をnullのままにします）

これは、ブラックリストの追加のテーブルを保持して定期的にパージするよりもはるかに簡単です。複数のデバイスをサポートするには、login、logoutの日付を維持するために、OSまたはクライアントの詳細などの追加の詳細を含む追加のテーブルが必要です。

ユーザー文字列ごとに一意で、グローバル文字列は一緒にハッシュされます

次に例を示します。

HEADER:ALGORITHM & TOKEN TYPE

{
  "alg": "HS256",
  "typ": "JWT"
}
PAYLOAD:DATA

{
  "sub": "1234567890",
  "some": "data",
  "iat": 1516239022
}
VERIFY SIGNATURE

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  HMACSHA256('perUserString'+'globalString')
)

where HMACSHA256 is your local crypto sha256
  nodejs 
    import sha256 from 'crypto-js/sha256';
    sha256(message);

使用例については、https：//jwt.ioを参照してください（動的な256ビットのシークレットを処理するかどうかは不明です）

私はそれを次のように行いました：

1. を生成しunique hash、redisとJWTに保存します。これはセッションと呼ぶことができます
   • 特定のJWTが行ったリクエストの数も保存します-jwtがサーバーに送信されるたびに、リクエストの整数をインクリメントします。（これはオプションです）

したがって、ユーザーがログインすると、一意のハッシュが作成され、redisに保存され、JWTに注入されます。

ユーザーが保護されたエンドポイントにアクセスしようとすると、JWTから一意のセッションハッシュを取得し、redisにクエリを実行して、一致するかどうかを確認します。

これから拡張して、JWTをさらに安全にすることができます。方法は次のとおりです。

特定のJWTが行ったXリクエストごとに、新しい一意のセッションを生成し、それをJWTに保存してから、前のセッションをブラックリストに登録します。

これは、JWTが絶えず変化していて、古くなったJWTがハッキングされたり、盗まれたりすることを止めることを意味します。

ユーザートークンを取り消すことができるようにする場合は、DBで発行されたすべてのトークンを追跡し、それらがセッションのようなテーブルで有効（存在）かどうかを確認できます。欠点は、リクエストごとにDBにアクセスすることです。

私は試していませんが、DBヒットを最小限に抑えながらトークンの取り消しを許可するには、次の方法をお勧めします-

データベースのチェックレートを下げるには、発行されたすべてのJWTトークンをいくつかの確定的な関連付けに従ってXグループに分割します（たとえば、ユーザーIDの最初の桁で10グループ）。

各JWTトークンは、グループIDと、トークンの作成時に作成されたタイムスタンプを保持します。例えば、{ "group_id": 1, "timestamp": 1551861473716 }

サーバーはすべてのグループIDをメモリに保持し、各グループには、そのグループに属するユーザーの最後のログアウトイベントがいつだったかを示すタイムスタンプが付けられます。例えば、{ "group1": 1551861473714, "group2": 1551861487293, ... }

古いグループタイムスタンプを持つJWTトークンを持つリクエストは、有効性（DBヒット）がチェックされ、有効な場合、新しいタイムスタンプを持つ新しいJWTトークンがクライアントの将来の使用のために発行されます。トークンのグループタイムスタンプが新しい場合、JWTを信頼します（DBヒットなし）。

そう -

1. トークンに古いグループタイムスタンプがある場合にのみ、DBを使用してJWTトークンを検証しますが、ユーザーのグループの誰かがログアウトするまで、以降のリクエストは検証されません。
2. タイムスタンプの変更回数を制限するためにグループを使用します（明日がないようにユーザーがログインしたりログアウトしたりすると、全員ではなく限られた数のユーザーにのみ影響します）
3. グループ数を制限して、メモリに保持されるタイムスタンプの量を制限します
4. トークンの無効化は簡単です。トークンをセッションテーブルから削除し、ユーザーのグループの新しいタイムスタンプを生成するだけです。

「すべてのデバイスからのログアウト」オプションが受け入れられる場合（ほとんどの場合は可能です）：

• トークンバージョンフィールドをユーザーレコードに追加します。
• このフィールドの値をJWTに保存されているクレームに追加します。
• ユーザーがログアウトするたびにバージョンを増やします。
• トークンを検証するときに、そのバージョンのクレームをユーザーレコードに保存されているバージョンと比較し、同じでない場合は拒否します。

とにかく、ほとんどの場合、ユーザーレコードを取得するためのdbトリップが必要になるため、これにより検証プロセスに大きなオーバーヘッドが追加されることはありません。ブラックリストの維持とは異なり、結合または個別の呼び出しを使用したり、古いレコードをクリーンアップしたりする必要があるため、DBの負荷が大きくなります。

JWTを使用しているときにすべてのデバイスからのログアウト機能を提供する必要がある場合は、回答します。このアプローチでは、リクエストごとにデータベースルックアップを使用します。サーバーがクラッシュしても、永続的なセキュリティ状態が必要だからです。ユーザーテーブルには2つの列があります。

1. LastValidTime（デフォルト：作成時間）
2. ログイン済み（デフォルト：true）

ユーザーからのログアウト要求があるたびに、LastValidTimeを現在の時刻に、Logged-Inをfalseに更新します。ログイン要求がある場合、LastValidTimeは変更しませんが、Logged-Inはtrueに設定されます。

JWTを作成すると、ペイロードにJWT作成時間が含まれます。サービスを承認するときに、3つの条件を確認します

1. JWTは有効ですか
2. JWTペイロードの作成時間がユーザーのLastValidTimeより大きいか
3. ユーザーはログインしていますか

実用的なシナリオを見てみましょう。

ユーザーXには2つのデバイスA、Bがあります。彼は午後7時にデバイスAとデバイスBを使用してサーバーにログインしました（JWTの有効期限は12時間としましょう）。AとBの両方に、createdTime：7pmのJWTがあります。

午後9時に彼はデバイスBを紛失しました。彼はすぐにデバイスAからログアウトします。つまり、データベースXのユーザーエントリのLastValidTimeは「ThatDate：9：00：xx：xxx」で、Logged-Inは「false」です。

9:30に、Mr.ThiefはデバイスBを使用してログインを試みます。Logged-Inがfalseであってもデータベースをチェックするため、許可しません。

午後10時にMr.Xが自分のデバイスAからログインします。これで、デバイスAは作成された時間（午後10時）のJWTを持ちます。これで、データベースのログインが「true」に設定されました

午後10時30分に、Thief氏がログインを試みます。ログインはtrueですが。データベースのLastValidTimeは午後9時ですが、BのJWTは午後7時に時間を作成しました。したがって、彼はサービスへのアクセスを許可されません。したがって、パスワードなしでデバイスBを使用すると、1つのデバイスがログアウトした後、作成済みのJWTを使用できません。

Keycloak（私が取り組んできた）のようなIAMソリューションは、次のようなトークン取り消しエンドポイントを提供します

トークン失効エンドポイント /realms/{realm-name}/protocol/openid-connect/revoke

ユーザーエージェント（またはユーザー）をログアウトするだけの場合は、エンドポイントも呼び出すことができます（これにより、トークンが無効になります）。繰り返しになりますが、Keycloakの場合、依存パーティはエンドポイントを呼び出すだけです。

/realms/{realm-name}/protocol/openid-connect/logout

詳細を知りたい場合はリンクしてください

これは、トークンを検証するたびにDBルックアップを行わないと解決が非常に難しいようです。私が考えることができる代替案は、無効化されたトークンのブラックリストをサーバー側に保持することです。これは、サーバーが再起動時にデータベースをチェックして現在のブラックリストをロードするようにすることで、変更が発生して再起動後も変更が永続化されるたびにデータベースで更新する必要があります。

ただし、サーバーメモリ（並べ替えのグローバル変数）に保持すると、複数のサーバーを使用している場合、複数のサーバー間でスケーラブルにならないため、共有Redisキャッシュに保持できます。再起動が必要な場合に備えて、データをどこかに（データベース？ファイルシステム？）保持するように設定し、新しいサーバーが起動するたびに、Redisキャッシュにサブスクライブする必要があります。

ブラックリストの代わりに、同じソリューションを使用して、これを他のセッションと同じようにセッションごとにredisに保存されたハッシュで行うことができます 、応答ポイント（必ずそれは、多くのユーザーはしかし、ログインして、より効率的であるではありません）。

ひどく複雑に聞こえますか？それは私にはありません！

免責事項：私はRedisを使用していません。

axiosまたは同様のpromiseベースのhttpリクエストlibを使用している場合は、.then()パーツ内部のフロントエンドでトークンを破棄するだけです。ユーザーがこの関数を実行した後、応答.then（）部分で起動されます（サーバーエンドポイントからの結果コードは200である必要があります）。ユーザーがデータの検索中にこのルートをクリックした後、データベースフィールドuser_enabledがfalseの場合、トークンの破棄がトリガーされ、ユーザーは即座にログオフされ、保護されたルート/ページへのアクセスが停止されます。ユーザーが永続的にログオンしている間、トークンが期限切れになるのを待つ必要はありません。

function searchForData() {   // front-end js function, user searches for the data
    // protected route, token that is sent along http request for verification
    var validToken = 'Bearer ' + whereYouStoredToken; // token stored in the browser 

    // route will trigger destroying token when user clicks and executes this func
    axios.post('/my-data', {headers: {'Authorization': validToken}})
     .then((response) => {
   // If Admin set user_enabled in the db as false, we destroy token in the browser localStorage
       if (response.data.user_enabled === false) {  // user_enabled is field in the db
           window.localStorage.clear();  // we destroy token and other credentials
       }  
    });
     .catch((e) => {
       console.log(e);
    });
}

トークンをユーザーテーブルに保存するだけで、ユーザーがログインすると新しいトークンが更新され、認証がユーザーの現在のjwtと同じになります。

これは最善の解決策ではないと思いますが、それは私にとってはうまくいきます。