Api JWT的iat和exp值应该是多少?
我正在使用一个API,该API声明在每个请求的授权头中使用JWTs,并说exp和iat不是可选的。如何确定iat和exp应使用的值?这有关系吗?是什么阻止我在过去将iat时间设置为far,并将exp时间设置为我想要的任何时间 RFC7519介绍了iat “iat”(于发布)索赔确定了JWT的发布时间 发布。该声明可用于确定JWT的年龄。它的 值必须是包含NumericDate值的数字。使用这个 索赔是可选的 和exp “exp”(过期时间)声明标识上的过期时间 或之后,不得接受JWT进行处理。这个 处理“exp”索赔要求当前日期/时间 必须在“exp”索赔中列出的到期日期/时间之前Api JWT的iat和exp值应该是多少?,api,jwt,authorization,bearer-token,Api,Jwt,Authorization,Bearer Token,我正在使用一个API,该API声明在每个请求的授权头中使用JWTs,并说exp和iat不是可选的。如何确定iat和exp应使用的值?这有关系吗?是什么阻止我在过去将iat时间设置为far,并将exp时间设置为我想要的任何时间 RFC7519介绍了iat “iat”(于发布)索赔确定了JWT的发布时间 发布。该声明可用于确定JWT的年龄。它的 值必须是包含NumericDate值的数字。使用这个 索赔是可选的 和exp “exp”(过期时间)声明标识上的过期时间 或之后,不得接受JWT进行处理。这
我想我会回答这个问题,以防其他人遇到一些模糊的文档来说明这一点 事实上,在为服务器提供公钥之后,我需要创建JWT。在我的每个请求中,我将创建头、有效负载和签名,并将其作为授权发送
简单的回答是,我可以将iss和exp设置为我想要的任何值:在服务器端没有任何方法来验证这一点。不使用荒谬的exp值来设置它以使令牌永远不会过期的唯一原因是出于安全原因。我想我会回答这个问题,以防其他人遇到一些模糊的文档来指定这一点 事实上,在为服务器提供公钥之后,我需要创建JWT。在我的每个请求中,我将创建头、有效负载和签名,并将其作为授权发送
简单的回答是,我可以将iss和exp设置为我想要的任何值:在服务器端没有任何方法来验证这一点。由于安全原因,不设置它以使令牌永远不会过期的唯一原因是。当API需要JWT时,它通常还有一个端点来发出令牌。通常情况下,创建您想要的令牌并不是您的责任,而是由API决定使用哪些值。谢谢,这就是我的想法。提供的文档的措辞听起来像我自己需要生成JWT。当API需要JWT时,它通常也有一个端点来发出令牌。通常情况下,创建您想要的令牌并不是您的责任,而是由API决定使用哪些值。谢谢,这就是我的想法。提供的文档的措辞听起来像是我自己需要生成一个JWT。