Me gustaría conocer las mejores prácticas para invalidar JWT sin golpear db al cambiar la contraseña / cierre de sesión.
Tengo la siguiente idea para manejar los 2 casos anteriores al ingresar a la base de datos de usuarios. 1.En caso de cambios de contraseña, compruebo la contraseña (hash) almacenada en el db del usuario 2. En el caso de cierre de sesión, guardo el último tiempo de cierre de sesión en la base de datos del usuario, por lo tanto, al comparar el tiempo creado con el token y el tiempo de cierre de sesión, puedo invalidar este caso.
Pero estos 2 casos tienen el costo de golpear al usuario db cada vez que el usuario llega a la api. Cualquier buena práctica es apreciada.