iOS应用程序的JWT认证PN

我正在制作一个iOS应用程序，使用Laravel5.2开发我的RESTAPI。对于用户身份验证，我使用JWT。当用户从我的应用程序登录时，我会发回JWT。问题是我能否将令牌的过期时间设置为“从不”，如果可能的话，这是个好主意？还是应该每x分钟刷新一次令牌？如果我应该每x分钟刷新一次令牌，我该如何做，何时做。我希望用户在第一次登录时始终登录，当然用户手动注销时除外。我在想，每次用户获取一些私有数据时，我都会刷新令牌

---

附言：我不能在laracast论坛上发表对话。每当我想点击“发布对话”时，我的鼠标箭头旁边就会出现一个错误图标

我会在您的客户端和后端之间协商一个密钥。然后，客户端将使用该密钥对服务器的任何请求进行签名。如果您注销或发生其他情况，服务器可以拒绝该机密

仅仅向客户端传递一个短期令牌就意味着它的功能非常有限。传递秘密意味着客户端可以在令牌过期后很长时间内继续对请求进行签名。而且，即使攻击者有机会在令牌穿过导线时听到令牌，它的寿命也很短，因此使用有限