完全可以,而且这是一个非常成熟、实用的方案。 甚至可以说,对于你的数字藏品交易平台,"JWT + Redis"比纯 OAuth2 标准协议更适合快速落地。
它完美地解决了纯 JWT(无状态)最大的痛点------"无法主动失效",同时又比完整部署一套 Spring Authorization Server 轻量得多。
🔍 这个方案是如何运作的?(核心逻辑)
在这个架构中,JWT 和 Redis 各司其职:
JWT(身份证):负责身份证明和防篡改。里面存着用户 ID(userId)和过期时间,服务端通过密钥验证签名,确认 Token 是真的。
Redis(黑名单/白名单):负责状态控制。它不存完整的用户信息,只存"这个 Token 是否还有效"的状态。
典型的执行流程如下:
登录时:验证账号密码通过后,生成 JWT。同时,将 JWT 的唯一编号(jti 字段)作为 Key,用户信息作为 Value 存入 Redis,过期时间与 JWT 保持一致。
请求时(API网关/拦截器):
先解析 JWT,验证签名和有效期(这两步不需要 Redis,速度极快)。
再去 Redis 查询该 jti 是否存在。如果存在,放行;如果不存在,拒绝(说明已注销或被踢下线)。
注销/改密码时:只需删除 Redis 中对应的 jti 记录。由于 JWT 本身无法篡改,Redis 里的记录没了,这张"身份证"就立刻作废了。
✅ 为什么这套方案特别适合你的数字藏品平台?
业务需求 JWT + Redis 如何应对
安全性要求极高 用户修改密码或申诉被盗后,可以实时删除 Redis 中的旧 Token,强制所有设备下线,防止资产损失。
单设备登录(踢人下线) 登录时,将新 Token 的 jti 存入 Redis,并删除该用户之前的 jti,即可实现"后登录挤掉前一个"的效果。
黑名单管理 管理员发现异常账号,可直接在后台删除其 Redis 缓存,瞬间封禁,无需等待 JWT 自然过期(如 7 天)。
性能保障 JWT 的验签(非对称加密)在网关本地完成,Redis 仅做一次 GET 查询(耗时约 0.5ms),对整体性能影响极小。