【发布时间】:2015-09-18 06:05:36
【问题描述】:
什么是 JWT 的最佳到期时间,这样用户除非单击注销,否则永远不会被注销?请注意,node.js 服务器可能会一直启动并运行
【问题讨论】:
-
如果您想要的话,只需将其设置为 100 年以上。
-
应该没有必要这样做:当 JWT 过期时,您只需在授权服务器上获得一个新的;如果用户仍处于登录状态(即没有显式退出),则可以在不打扰用户的情况下静默提供新的 JWT;请注意,这将 JWT 和用户登录会话对齐
-
那么将其设置为 100 年到底有什么缺点呢?在安全方面? @BidhanA
-
为什么还要设置过期时间呢? @HansZ。
-
最佳安全实践:永远存在的令牌最终会出现在错误的位置
标签: json node.js restful-authentication jwt express-jwt