当确定JWT过期时间时，我应该考虑什么？

不让JWT过期让用户自动登录不是很有效吗？它有安全问题吗

---

我不想使用会话和或cookie。它们是无效的。

在我看来，如果令牌被盗，它是有效的。如果您有无限的过期时间，入侵者可以在生命周期内访问受保护的资源。可以将其视为个人邮件的密码。定期更改密码通常是一个好主意，这样，如果有人在您不知情的情况下获取了您的密码，他将无法在此后再次访问您的电子邮件。 话虽如此，但不强制规定有效期。 据

“exp”（过期时间）声明标识上的过期时间 或之后，不得接受JWT进行处理。这个 处理“exp”索赔要求当前日期/时间 必须在“exp”索赔中列出的到期日期/时间之前。实施者可能会提供一些小的回旋余地，通常不超过 几分钟，以解释时钟偏移。它的值必须是一个数字 包含NumericDate值的。此声明的使用是可选的

---

依我看，这在代币被盗的情况下是有效的。如果您有无限的过期时间，入侵者可以在生命周期内访问受保护的资源。可以将其视为个人邮件的密码。定期更改密码通常是一个好主意，这样，如果有人在您不知情的情况下获取了您的密码，他将无法在此后再次访问您的电子邮件。 话虽如此，但不强制规定有效期。 据

“exp”（过期时间）声明标识上的过期时间 或之后，不得接受JWT进行处理。这个 处理“exp”索赔要求当前日期/时间 必须在“exp”索赔中列出的到期日期/时间之前。实施者可能会提供一些小的回旋余地，通常不超过 几分钟，以解释时钟偏移。它的值必须是一个数字 包含NumericDate值的。此声明的使用是可选的

---

如果您只需要一个会话，请使用会话cookie，不要为JWT操心。@pvg我不想使用会话或cookie。JWT还有很多其他的问题，特别是如果安全性是一个问题的话。我不理解反对票。这是一个好问题。甚至，我花了一点时间在谷歌上了解了一下。如果你只是需要一个会话，就使用会话cookie，不要为JWT操心。@pvg我不想使用会话或cookie。JWT还有很多其他的问题，特别是如果安全性是一个问题的话。我不理解反对票。这是一个好问题。甚至，我花了一点时间在谷歌上了解了一下。