服务端使用无状态 JWT 优化数据库查询压力的核心方法是将用户身份和权限信息直接写入 Token 的 Claims 中，避免每次请求都查询会话表。适用高并发读取场景，风险边界在于 Token 撤销困难和数据敏感性与大小的平衡。

快速处理思路

架构调整无法通过单条命令完成，以下是核心代码逻辑和配置方向。

// 生成 Token 时嵌入权限信息，避免后续查库
payload = {
  "user_id": 123,
  "roles": ["admin", "editor"], // 高频权限直接放入
  "exp": 1678888888
}
// 中间件验证时仅校验签名，不查库
if verify_signature(token) and not expired(token):
  allow_request()

为什么会这样

无状态 JWT 减少数据库压力的原理是用计算换 IO，将会话状态从数据库迁移到客户端 Token 中。传统 Session 模式需要在数据库或 Redis 中存储 Session ID 与用户数据的映射，每次请求必须查询存储层确认身份。JWT 遵循 RFC 7519 标准，服务端只需持有私钥即可通过数字签名验证 Token 真伪和完整性，无需读取数据库中的会话记录。

分步处理

按以下步骤实施无状态 JWT 改造，每一步都需确认对业务逻辑的影响。

步骤 1：梳理 Claims 字段
分析业务代码，找出认证后每次请求都要查询的用户字段。将非敏感且变更频率低的字段（如用户角色、会员等级）写入 Token。敏感字段（如密码、手机号）禁止写入。

步骤 2：设置双 Token 机制
配置 Access Token 有效期为 15-30 分钟，Refresh Token 有效期为 7-14 天。Access Token 用于业务请求，Refresh Token 用于换取新的 Access Token。短有效期可降低 Token 泄露后的风险，减少强制撤销的需求。

步骤 3：优化撤销策略
除非涉及高危安全事件，否则不维护全局黑名单。若必须支持即时撤销，使用 Redis 存储失效 Token 的 JTI 或用户 ID 版本号和，设置过期时间等于 Token 剩余有效期，避免 MySQL 承受高频写入压力。

步骤 4：中间件改造
修改认证中间件，移除查询用户表的逻辑。仅保留签名验证、过期检查和权限字段读取。确保异常处理中包含签名失效和过期后的明确错误码。

怎么验证是否生效

通过监控工具和日志确认数据库查询次数减少，且认证功能正常。

检查数据库 QPS：对比改造前后认证相关接口的数据库查询次数。在 APM 工具中观察 SQL 调用链，确认认证中间件不再触发 SELECT 用户表操作。

检查 Token payload：使用 JWT 解码工具查看生成的 Token 内容，确认 roles 等字段已存在且数据正确。

检查响应延迟：观察认证接口的 P99 延迟。无状态验证通常比数据库查询更稳定，抖动应减小。

常见坑

实施无状态 JWT 时需注意以下边界条件和潜在风险。

Token 体积过大：Claims 中放入过多数据会导致 HTTP 请求头超出限制。一般建议 Token 长度控制在 1KB 以内，避免影响网络传输效率。

权限变更滞后：用户权限修改后，旧 Token 在过期前仍拥有旧权限。适用场景为权限不频繁变更的系统，或通过版本号机制强制刷新。

敏感信息泄露：JWT Payload 仅经过 Base64 编码而非加密，任何人可解码查看。禁止在 Token 中存储密码、密钥或个人隐私数据。

常见问题

JWT 如何实现用户登出或强制下线？

无状态 JWT 无法直接删除客户端 Token，需配合短有效期和服务端黑名单。将用户 ID 或 Token JTI 加入 Redis 黑名单，有效期设为 Token 剩余时间，中间件验证时额外检查黑名单。

Token 中应该存放哪些用户数据？

仅存放认证和授权必需的非敏感数据，如用户 ID、角色列表、租户 ID。避免存放个人资料、配置信息等易变或敏感数据，这些数据应在业务接口按需查询。

无状态 JWT 适合所有系统吗？

不适合权限变更频繁或对安全性要求极高的金融系统。这类系统建议采用短寿命 JWT 配合服务端状态检查，或继续使用集中式 Session 管理以确保即时控制力。

参考来源

• IETF, "RFC 7519 - JSON Web Token (JWT)", https://www.rfc-editor.org/rfc/rfc7519.html