【问题标题】:JWT Exp 24hrs Meaning?JWT Exp 24hrs 是什么意思?
【发布时间】:2015-07-03 02:58:37
【问题描述】:

我对 24 小时的 JWT 到期时间到底意味着什么有点困惑。就自动注销(每 24 小时?)而言,这意味着什么?如果有人持续使用系统超过 24 小时会发生什么?如果系统处于非活动状态超过 24 小时会怎样?

【问题讨论】:

    标签: node.js jwt


    【解决方案1】:

    一个JWT的过期时间仅仅是一个claim;换句话说,服务器可以选择(这是操作词)在某个时间戳过去后不处理令牌。

    这完全取决于使用的 JWT 实现是否会强制到期,或者开发人员是否必须手动执行。

    例如,jsonwebtoken 包的默认设置是如果 JWT 已过期则验证失败。不过,你可以tell it to ignore the expiration

    这也意味着开发人员必须选择何时更新令牌的过期时间(登录后的固定时间,或最后一次与服务器交互后,或完全其他时间)。

    【讨论】:

    • 我想我的问题真的归结为这个。如果令牌 exp 设置为 24 小时,用户是否必须至少每 24 小时登录一次?
    • @axc 令牌中的到期日期只是一条信息(而对于 cookie,浏览器通过删除已过期的 cookie 来强制执行到期日期)。您的应用程序将如何解释该信息完全取决于您。
    • RFC 7519 声明The "exp" (expiration time) claim identifies the expiration time on or after which the JWT MUST NOT be accepted for processing.(实施者可以容忍一个小的偏差)。它不是“由 JWT 实现决定的”——如果一个实现接受过期的令牌,它就不是 JWT 的实现 :)
    • @frasertweedale 很公平,但从服务器的角度来看,仍然由开发人员(不)处理过期令牌(与 cookie 不同,过期后不会发送到服务器)跨度>
    猜你喜欢
    • 1970-01-01
    • 2021-07-25
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-08-12
    • 2017-06-11
    • 2018-03-05
    • 2023-03-27
    相关资源
    最近更新 更多