JWT（Json Web Token）的过期保存在哪里？

Question

我认为JSW认证流程如下。

1. （客户端）在登录页面使用id和密码调用api
2. （服务器）将令牌（HEADER . CLAIM . SECRETKEY）返回给客户端
3. （客户端）将令牌保存在本地存储中
4. （客户端）使用令牌调用api
5. （服务器）检查令牌的有效性和过期，并将结果返回给客户端

认证方式5：解码后的HEADER和解码后的CLAIM的组合是否匹配SECRETKEY。

我有一个问题。过期保存在哪里？

FYR。我使用了这个库。 https://github.com/auth0/node-jsonwebtoken

Answer 1

过期时间保存在 CLAIM 中。如RFC所写。

4.1。注册的索赔名称

4.1.4。 “exp”（过期时间）声明

“exp”（过期时间）声明标识过期时间 或者在此之后，JWT 不得被接受处理。这 处理“exp”声明需要当前日期/时间 必须早于“exp”声明中列出的到期日期/时间。

另外，看看jwt.io，它比 RFC 更容易阅读。