如果设置了过期时间,用户持续访问,那么这个时间应该做处理
Web应用程序
一个好的模式是在它过期之前刷新令牌。
将令牌过期时间设置为一周,并在每次用户打开Web应用程序并每隔一小时刷新令牌。如果用户超过一周没有打开过应用程序,那他们就需要再次登录,这是可接受的Web应用程序UX(用户体验)。
要刷新令牌,API需要一个新的端点,它接收一个有效的、没有过期的JWT、并返回与新的到期字段相同的签名的JWT。然后Web应用程序会将令牌存储在某处。
移动/本地应用程序
大多数本地应用程序的登录有且仅有一次。
这里面的出发点是,刷新令牌永远不会过期,并且可以始终为有效的JWT进行更换。
永远不会过期的令牌的问题是它失去了令牌的意义。譬如,如果你电话丢了,你该怎么办?因此,它需要由用户以某种方式进行识别,应用程序需要提供撤销访问的方法。我们决定使用设备的名称,例如“maryo的iPad”。然后用户可以去应用程序,并撤销访问“maryo的iPad”。
另一种方法是撤销特定事件的刷新令牌,其中一个有趣的事件是更改密码。
我们认为JWT对于这些用例无效,因此我们使用随机生成的字符串,并将它们存储在我们这边。