我正在努力验证 JWT 令牌的发行者。当用户登录时,我生成的令牌包含 UserId 或 Email 以及密钥。在我使用 Jwt.verify 验证令牌的中间件中,这在我的用例中通常就足够了。
现在考虑我们有 2 个登录用户,他们都有自己的令牌,如果我们交换他们的令牌,我的 jwt.verify 方法会验证他们,因为它不会跟踪任何令牌的发行者。
我尝试寻找客户端无法操纵的浏览器 ID,我将在生成令牌时将其用作发行者,但我找不到实现此目的的正确方法。