【发布时间】:2015-07-03 02:58:37
【问题描述】:
我对 24 小时的 JWT 到期时间到底意味着什么有点困惑。就自动注销(每 24 小时?)而言,这意味着什么?如果有人持续使用系统超过 24 小时会发生什么?如果系统处于非活动状态超过 24 小时会怎样?
【问题讨论】:
我对 24 小时的 JWT 到期时间到底意味着什么有点困惑。就自动注销(每 24 小时?)而言,这意味着什么?如果有人持续使用系统超过 24 小时会发生什么?如果系统处于非活动状态超过 24 小时会怎样?
【问题讨论】:
一个JWT的过期时间仅仅是一个claim;换句话说,服务器可以选择(这是操作词)在某个时间戳过去后不处理令牌。
这完全取决于使用的 JWT 实现是否会强制到期,或者开发人员是否必须手动执行。
例如,jsonwebtoken 包的默认设置是如果 JWT 已过期则验证失败。不过,你可以tell it to ignore the expiration。
这也意味着开发人员必须选择何时更新令牌的过期时间(登录后的固定时间,或最后一次与服务器交互后,或完全其他时间)。
【讨论】:
The "exp" (expiration time) claim identifies the expiration time on or after which the JWT MUST NOT be accepted for processing.(实施者可以容忍一个小的偏差)。它不是“由 JWT 实现决定的”——如果一个实现接受过期的令牌,它就不是 JWT 的实现 :)