jwt - 如果用户在使用 JWT 的一段时间内不活跃，如何延长 token 到期时间？

Question

此处给出了一个普通 Web 应用程序的示例。

传统上，我们使用 session 并设置超时 = 30 分钟。如果 session 过期，我们将重定向用户登录。 (当用户/浏览器与网络应用程序交互时，过期时间将被延长)

使用 JWT，如何实现？

我对“ token 刷新”有所了解，当短期 token 到期时，它将使用刷新 token 刷新一个新 token 。

但看起来它并不关心用户是否与网络应用程序交互。所以只要refresh-token还活着，浏览器总能得到一个新的短生命周期JWT。

所以问题是:如何延长 token 到期时间如果用户在一段时间内不活跃 使用 JWT？

Answer 1

当用户与您的服务器交互时，您的服务器可以决定发出另一个具有新过期时间的 JWT(不是在每个请求时，而是例如在当前 JWT 过期时间前 5 分钟)。如果客户端收到一个新的 JWT，那么它会替换旧的 JWT。

当用户什么都不做时，不会发出新的 JWT，超时后 JWT 将失效。