我有一个使用Auth0进行授权和身份验证的javascript SPA应用程序。用户可以使用社交帐户(Google或Facebook)。我的目标是让用户保持相当长的登录时间(例如10天)。
我将JWT的有效期增加到10天(864000秒)。
当用户登录时,我将访问令牌和id令牌存储在cookie中(它们的到期时间也为10天)。加载页面后,应用程序将检查访问令牌上的到期日期。如果已过期,它将执行新的登录。否则,假定它仍处于登录状态。
此过程之后,应用程序将请求发送到/ userinfo端点。在一段时间(几个小时)内可以正常工作,但是在此之后,/ userinfo端点将返回401(未经授权),即使令牌尚未过期。
使用checkSession也会失败。
我想念什么?