未检查记住我的功能

Question

我有一个带有jwt和刷新令牌的网站。jwt的生存期非常短，大约为5分钟，当选中“记住我”时，刷新令牌生存期设置为大约6个月。

我想知道什么是最好的解决方案时，记住我是不受约束的。刷新令牌是否应该具有更短的生存期？几个小时？或者在离开网站时，我应该使用jwt/refresh令牌数据清除本地存储？还有其他更好的解决办法吗？

Answer 1

您的刷新令牌应该配置为用户会话的最大预期寿命。当他们不想被人记住时，这应该意味着：

• 您的应用程序/服务器创建的任何cookies都应该是会话cookies
• ，当用户显式注销时，用户的会话应该被完全清除(
• )--刷新令牌应该持续到标准用户会话的时间，例如。对于商业应用程序，标准工作日的长度(12小时)