我对JWT非常新,我最终继承了使用JWT的代码库。现在我面临一些非常基本的问题,我没有找到任何答案。这个问题不是基于代码的,所以请耐心等待。JWT令牌刷新(滑动会话)和注销
让我们说我的JWT令牌有效期为4小时。这是我的要求/限制
如果用户在3小时59分钟工作。他们的会议应该延长2小时,他们不应该被要求重新输入凭证。
客户端Java脚本不得以任何方式缓存用户凭证。
使用新的JWT令牌刷新是可以的......但是您不得在服务器上发出的每个请求中执行此操作。因此,当时机成熟时,客户端必须具有智能才能刷新JWT令牌。您不得尝试在对应用程序提出的每个请求中发出新的令牌,因为我们最终会出现在会话过程中生成1000个有效令牌的场景中,并且所有这些令牌都处于活动状态。这使得登出要求更加困难。
一旦用户点击登出。 JWT令牌不应再可用。即使它的生命时间仍然有效。
如果发生登录。发布的所有令牌(作为会话扩展的一部分)应该失效。不只是最后一个。
我开始阅读有关JWT的内容,但看起来我的要求似乎不能满足JWT的要求。这些要求很容易满足会话id方法。但我不想放弃智威汤逊。