用jwt就說明授權(quán)無法撤銷, 但是可以通過在token中過期時間來取消授權(quán);
第3點中,你是無法讓原token失效的, 因為你不知道這個token是否簽發(fā)過新token,如果用數(shù)據(jù)庫存儲就另說了.(這也違背了jwt設(shè)計吧?);
第4點,過期的token,不能直接簽發(fā)新token,必須要正確的授權(quán)再簽發(fā),(這里可能是你的筆誤,表達重新授權(quán)簽發(fā)之意?)

session存server, jwt token存client, jwt無法主動撤銷授權(quán).
要說弊端,就是第三點的多授權(quán)token問題? 好像也不是什么大問題...