我对JWT到期时间为24小时的确切含义感到有些困惑。这对于自动注销(每24小时?)意味着什么?如果有人继续使用该系统超过24小时,会发生什么?如果系统处于非活动状态超过24小时会发生什么?
答案 0 :(得分:0)
JWT的到期时间仅为claim;换句话说,服务器可以选择(这是操作词)在某个时间戳过去时不处理令牌。
如果它将强制执行到期,或者开发人员必须手动执行此操作,则完全取决于正在使用的JWT实现。
例如,jsonwebtoken
软件包的默认设置是,如果JWT已过期,则验证失败。但是,您可以tell it to ignore the expiration。
这也意味着开发人员必须选择何时更新令牌的到期时间(登录后的固定时间,或最后与服务器进行交互后,或其他完全相同的时间)。