在 Chrome 中:
F12 ?? 应用选项卡 ?? 饼干 ??将令牌复制并粘贴到 Postman 等 REST 客户端中
哎呀,我刚刚为您的 API 获得了一个永久令牌!
换句话说,正如你所怀疑的,这不是一个好的做事方式。到期时间应该在令牌的有效负载中 - 这样,您可以验证没有人更改它,因为它将使用您的服务器机密值进行签名。
Node JWT 库实际上内置了这个功能:
jwt.sign({
// 1 hour expiration
exp: Math.floor(Date.now() / 1000) + (60 * 60),
data: 'foobar'
}, 'secret');
这并不是说你不能/不应该也使用cookie有效期与您的令牌,但仅仅依靠它并不安全。