生成的JWT是無(wú)法撤銷的，除非是達(dá)到了指定的過期時(shí)間。這個(gè)是由什么決定的？

就是過期時(shí)間會(huì)寫在token里或者與token關(guān)聯(lián)。

是JWT的算法決定的嗎？

是

還有一個(gè)問題是，JWT是如何來(lái)校驗(yàn)一個(gè)Token是否有效的？

一般會(huì)定時(shí)清理過期的token，并且訪問的時(shí)候也會(huì)先查看token是否過期。

我有注意到同樣的數(shù)據(jù)生成的JWT，在Node進(jìn)程重啟后就會(huì)被判定為無(wú)效的Token。看起來(lái)像是寫進(jìn)了內(nèi)存一樣，但是肯定不可能。

如果沒有存到數(shù)據(jù)庫(kù)里比如redis/memcached或者其他，那就只能在內(nèi)存里。node進(jìn)程重啟無(wú)效說明并沒有存到進(jìn)程外部，所以應(yīng)該是內(nèi)存里。

不清楚你需要撤銷什么，如果是希望token都失效，把秘鑰改了就行了。