این مشکل نیست. این توکنها متکی به خود (self contained) هستند و همه چیز را جهت استفادهی کامل از آنها، درون خود دارند و تا زمانیکه یکسری از claims موجود در آنها منقضی نشود (مانند طول عمر تنظیم شدهی آنها) یا تغییر نکنند، از سمت سرور بدون هیچ مشکلی، اعتبارسنجی خواهند شد. زمانیکه logout میکنید، فقط این توکنها را از کشهای مختلف مرورگر حذف میکنید؛ اما ردی از حذف شدن و غیرمعتبر شدن آن، در سمت سرور ذخیره نمیشود و اگر کاربری قبلا این توکن را ذخیره کرده باشد، باز هم باتوجه به متکی به خود بودن آن، میتواند از آن استفادهی مجدد کند. برای برگشت زدن توکنهای متکی به خود، در سمت سرور، باید داخل آنها یک claim سفارشی مانند serial number، قرار داد و همچنین در سمت سرور هم این serial number را ذخیره کرد. بعد در حین logout، این serial number را در بانک اطلاعاتی تغییر داد تا دفعهی بعدی که قرار است از توکن متکی به خود استفاده شود، اعتبارسنجی ثانویهای بر روی این claim دریافتی از کاربر و مقایسهی آن با مقدار موجود در بانک اطلاعاتی در سمت سرور هم انجام شود (حالت پیشفرض اکثر سیستمهای اعتبارسنجی، فاقد این مرحله است). اینکار در ASP.NET Core Identity تحت عنوان مفهوم
security stamp پیاده سازی شده و وجود دارد؛ در JWTها توسط
TokenValidatorService و در کوکیها، توسط
CookieValidatorService قابل پیاده سازی است. در نگارشهای قبلی ASP.NET و حالت استفادهی از Forms authentication، امکان بررسی سفارشی وضعیت کاربر جاری در
authenticate request هم وجود دارد. مطلب جاری، به غنیسازی
Validator Serviceهای اشاره شده، میپردازد.