Каким образом можно отменить или аннулировать access token в системе?

Отмена или аннулирование access token зависит от способа их хранения и реализации системы аутентификации.

Основные подходы:

1. Черный список (revocation list) — хранить список отозванных токенов на сервере и проверять каждый запрос по этому списку.

2. Короткий срок жизни токена — делать access token с небольшим временем жизни, чтобы они быстро истекали.

3. Использование refresh token — при отзыве refresh token пользователь не сможет получить новый access token.

4. Изменение секретного ключа или данных, на основе которых формируется токен — например, менять поле "token version" в базе, и при проверке токена сверять его с текущим значением.

Пример с черным списком на Python (упрощённо):

revoked_tokens = set()

def revoke_token(token):
    revoked_tokens.add(token)

def is_token_valid(token):
    if token in revoked_tokens:
        return False
    # дополнительная проверка подписи и срока действия
    return True

Таким образом, чтобы аннулировать токен, его добавляют в список отозванных или меняют условия проверки.