Solucionado
O logout do exemplo do curso é apenas client side, se usamos um token oauth ou jwt esse token que retiramos do localstorage continua válido e se um hacker tivesse acesso a esse token ele tem acesso total ao sistema, no caso de jwt sequer esse token pode ser expirado por qualquer motivo, só expira com timeout.
Quais as alternativas seguras para implementar esse logout na outra ponta? oque as pessoas tem usado no mercado?
Olá, Ricardo!
Excelente pergunta.
Diferente de uma autenticação usando session, onde temos o controle e podermos "destruí-la" do lado do servidor, tokens JWT não possuem estado (stateless) e podem ser válidos indefinidamente.
A forma mais comum é dar um tempo de vida para o token, fazendo com q ele expire após determinado tempo.
Existe uma outra técnica tb chamada blacklist, que é utilizada quando o token precisa ser invalidada em tempo real.
Como o nosso foco era somente o frontend, vc pode conferir um curso com exemplos em node aqui