2022-04-19
https://kurochan-note.hatenablog.jp/entry/2022/04/18/112307
「ステートフルなセッション識別子は、ログアウト後にはサーバー上で無効とされるべきである。ステートレスなJWTトークンは、攻撃者の機会を最小にするために、むしろ短命であるべきである。寿命の長いJWTの場合は、アクセスを取り消すためにOAuth標準に従うことが強く推奨される。」
これにつきますね。
JWTがどうこうじゃなくて、特性を考えて使い所や寿命を考えていかないと、論争になりがち。