我想在用户不活动30分钟后自动使服务器端的JWT无效。
我知道如何为JWT设置有效期,但无论用户是否处于活动状态,这都会使令牌无效。
因此,如果用户在30分钟内没有活动,我ONLY希望使令牌无效。
框架:Spring
JWT代币从代币发行人发行期间(iat声明(一直有效到到期(exp声称(。
在分布式系统中,有一个令牌颁发者(授权服务器(和一个接受令牌的应用程序(资源服务器(,资源服务器通过确保令牌在有效期内(iat和exp声明之间的范围(来确定令牌是否已过期。
如果您想要一种方法来强制撤销令牌并且不再接受该令牌,即使在其有效日期范围内也是如此,那么您将依赖于资源服务器,必须检查令牌撤销列表才能获得令牌的状态。虽然有一些方法可以实现,但本线程将详细介绍-我如何撤销JWT令牌?,通常认为,可靠地管理的开销比它更麻烦,更好的解决方案是使用短期令牌,例如10分钟(或任何对您有用的东西(,并让需要令牌访问资源服务器的应用程序在到期前不久生成一个新令牌。