JWT令牌的到期字段是否是语义,还是应该用于检查令牌有效性,而不是简单地设置包含cookie的最大年龄的JWT以对应到期时间?后期选项似乎更简单,因为不需要额外的验证逻辑,Spring将自动检测过期的cookie。
这是否在JWT令牌的情况下获得批准?
答案 0 :(得分:0)
使用cookie max age是不合适的。 JWT是一种独立的格式,与存储模式无关。在浏览器中可以通过任何可用的方式存储:cookie,localStorage,IndexedDB等。在服务器或独立系统中,它可以以任何方式存储。将令牌过期附加到存储模式是不方便的,因为您无法控制它。
让我们看看RFC
“exp”(到期时间)声明标识JWT不得接受处理的时间或之后的到期时间。处理“exp”索赔要求当前日期/时间必须在“exp”索赔中列出的到期日期/时间之前。
所以必须检查到期时间(如果设置了字段)