大佬们好， JWT 如何防止多端登录 ？

既然你这样问了，那么普通 token 也适合你，为什么要使用 jwt ？

如果你要防止，那么就不能用这种无状态方案。
当然，现实中能够见到不少用 JWT 然后又限制单个设备登录的傻缺方案，他们又维护了这个 token ，搞笑。
如果你这个特性是硬性要求，综合用户体验，可以考虑分布式 session 共享方案，或者自己用 http header + token 实现一套，更简单有效。。

加一层 Redis

要么 session 要么放 token 做检测

直接换成 session

JWT 设计用于无状态的，单端登录回归有状态，请在服务端自行记录登录状态

那就没必要使用 JWT

回退到 session 设计，这是个永恒的话题哈哈哈，无解的。最大的作用也就是解决了某些人的 cookie 焦虑而已。

加个中间件就行了, 验证的时候都要过一遍,有些人直接用的服务器,有些人用的 redis 集群

楼上一些觉得不该用 jwt 的可能过于理想化了, 因为现在很多系统都基于 jwt 概念验证而开发, 你接手后因为自身业务需求想限制登录, 没必要去把整个 jwt 换掉,这样改动工作量会比较大而且可能引来未知的 bug(因为 jwt 不仅仅代表登录有些系统可能还用来传递权限之类), 只需要入口或中间层加验证就行了, 改动是最小的, 我们之前系统就有这样的需求

在新设备登录时创新的 token ，吊销旧 token ，服务端只允许一个 token 存在

@angel001ma 这和单点登录有啥关系？误人子弟！

这种场景就别用 jwt 了吧，用 session

设计的人是个二把刀

用啥技术都是为了符合需求的, JWT 和 session 机制同时用也不代表就不合理. 比如说普通浏览仅验证 JWT, 在关键操作中才验证 session, 在某些场合中也是可行的嘛, 为啥非要冷嘲热讽呢

登录生成 token 的时候看用户有没有别的有效 token ，有的话把原先的 token 清空。 要配合 jwt 验证机制。

最简单的做法是使用用户状态，在用户登录时，将用户状态（如“已登录”）存储在服务器端。每次用户发起请求时，服务器都会检查用户状态。如果用户状态为“已登录”，但请求中的 Token 与服务器中的 Token 不匹配，说明用户可能在另一个设备上登录，可以拒绝该请求

@yrzs #5 这样 jwt 就没意义了，不如直接一个 uuid-token

jwt 本身就是为了无状态设计的，你要是服务端再维护一个状态，和 session 有什么区别？

不适合用 jwt,改造一下

你应该是维护一个用户的 token 关联登陆设备信息，每次登陆后，关联 token 跟登陆设备信息，然后请求使用的时候检查使用 token 的设备是不是跟登陆设备信息一样