Można na przykład tak, że wykorzystując JWT generuje się tokeny, które w zależności od potrzeb można wciągnąć na czarną listę blokując dostęp. Naturalnie wystarczy samo id takiego tokena, no ale trzeba sobie rejestrować ich dystrybucję tak czy siak.
M.