我有一个用swift制作的移动应用程序,并使用php / mysql作为后端。
目前,当用户登录时,我会根据mysql中存储的凭据检查用户名和密码。如果匹配,则使用我存储在.env文件中的密钥创建JWT。然后将其保存在iOS钥匙串中,以便在应用程序内部随时使用。
我在使用JWT时遇到了一些问题:
到期时间 - 理想的到期时间是多少?我读过一周内的任何内容,根本没有设置任何内容。显然这取决于应用程序,因为我认为银行应用程序需要一个很短的令牌。
其他人拥有帐户的用户名和密码 - 让我们说A人拥有一个帐户,但B人不知何故有必要的凭据才能登录。因此,A人希望重置密码,因为其他人有不受欢迎的访问权限由于JWT没有过期,因此在帐户密码重置后,B人仍然登录。你如何防止这种情况发生,所以当人A密码被重置时,B人不再有使用JWT的权限?
我还阅读了有关刷新令牌的内容,但似乎无法找到有关如何在移动应用程序中使用它的任何明确信息。