永远不要让JWT过期以便用户自动登录是不是有效?它有安全问题吗?
我不想使用会话和/或cookie。它们无效。
答案 0 :(得分:0)
IMO,如果令牌被盗,它是有效的。如果您有无限的到期时间,入侵者可以访问受保护资源的生命周期。您可以将其视为个人邮件的密码。定期更改它通常是一个好主意,这样如果有人在您不知情的情况下获得了您的密码,那么之后他将无法再次访问您的电子邮件。 话虽如此,但没有必要有到期时间。 根据{{3}}
“exp”(到期时间)声明标识到期时间 或者之后不得接受JWT进行处理。该 处理“exp”索赔要求当前日期/时间 必须在“exp”声明中列出的失效日期/时间之前。实施者可以提供一些小的余地,通常不超过 几分钟,以解释时钟偏差。它的值必须是一个数字 包含NumericDate值。使用此声明是可选的。