Jwt 承载令牌是否以Auth0'；s/userinfo api端点是否过期？

我们已经在SPA中使用隐式流为Auth0设置了锁小部件v11。我们在Auth0管理门户的应用程序设置中将JWT过期时间设置为15分钟，并在web应用程序中使用静默身份验证定期获取新令牌

该流工作正常，令牌按其应该的方式过期。我们的问题是userinfo端点。Auth0锁小部件正在内部对userinfo端点执行XHR请求。在安全筛选过程中，我们发现，如果我们记录了这样一个请求，然后在邮递员几个小时后再次请求，端点仍然会用用户详细信息（如姓名和电子邮件）进行响应。在该请求中发送的承载令牌与使用15分钟到期时间发出的令牌不同

这对我们来说是一个安全问题，因为在用户选择注销后很长时间内都可以获取基本用户信息

在Auth0管理门户中，我尝试将租户设置>高级下的“不活动超时”/“需要在”之后登录设置为1分钟。我还尝试在应用程序设置下降低“JWT过期时间”。这些设置都不会影响用户信息请求，该请求仍会以用户详细信息进行响应

对userinfo端点的请求示例：

GET https://<tenant>.eu.auth0.com/userinfo

Request headers:
Authorization:Bearer <some token with length of 32>

---

是否有任何设置控制发送到userinfo的承载令牌的过期？它是否应该与应用程序JWT过期设置具有相同的过期时间？

不幸的是，令牌过期时间是为端点设置的，无法更改。这份文件提供了一个答案

---

您是否考虑过对最后更新时间超过15分钟的令牌执行吊销？

{
    "sub": "auth0|xxxxxxxxxxxxxxxxxx",
    "nickname": "John",
    "name": "John Doe",
    "picture": "xxxxxxxxxxxx",
    "updated_at": "2019-08-29T12:32:39.352Z",
    "email": "user@example.com",
    "email_verified": true
}