JWT的过期时间是多少,这样除非用户登录,否则用户永远不会被注销?请注意,node.js服务器可以永久启动并运行
答案 0 :(得分:0)
这不是正确的做法。 永远不要让你的jwt有太多的到期时间。如果您的令牌被盗,则攻击者将获得更多访问权限,因为此令牌永不过期。 JWT是基于私钥的匹配。在秘密未更改之前,您的来源可通过该密钥访问。
请改用refresh_token。哪个过期没有过期时间。
使用refresh_token获取新的access_token。
您也可以根据设备使refresh_token失效。