我是JWT的新手,最后我继承了一个使用JWT的代码库.现在我遇到了一些非常根本的问题,我找不到任何答案.这个问题不是基于代码的,所以请耐心等待.
让我们说我的JWT令牌有效期为4小时.这是我的要求/限制
如果用户工作时间为3小时59分钟.他们的会话应该延长2小时,不应该要求他们重新输入凭证.
客户端java脚本不得以任何方式缓存用户凭据.
可以使用新的JWT令牌刷新JWT令牌......但是您不能在服务器上的每个请求上执行此操作.因此,当时机成熟时,客户端必须能够智能刷新JWT令牌.您不得尝试在对应用程序发出的每个请求上发出新令牌,因为我们最终会遇到在会话过程中生成1000个活动令牌并且所有活动令牌都处于活动状态的情况.这使得注销要求更加困难.
用户点击退出后.JWT令牌不再可用.即使它的寿命仍然有效.
如果发生退出.发布的所有令牌(作为会话扩展的一部分)应该失效.不只是最后一个.
我开始阅读有关JWT的内容,但似乎JWT无法满足我的要求.使用会话ID方法很容易满足这些要求.但我还不想放弃JWT.