Ser*_*rov 6 security token jwt
在一般情况下,对于Web API服务而言,在每个用户做出的请求中发送一个新生成的令牌是否有意义,以便客户端应用必须用于下一个请求?
我正在考虑使令牌过期的方法,但是如果客户端应用正在使用API中的数据,则无需再次登录。
我认为这很容易实现,但是不确定是否可能存在UX或逻辑/安全问题。
这是一种现有技术,使用auth0 在此处解释的滑动会话的概念:刷新令牌:何时使用它们以及它们如何与 JWT 交互
滑动会话是在一段时间不活动后到期的会话。当用户执行操作时,会发出新的访问令牌。如果用户使用过期的访问令牌,会话将被视为非活动的,并且需要新的访问令牌。可以使用刷新令牌或需要凭据获取此新令牌