Se comprendo le best practice, JWT di solito ha una data di scadenza di breve durata (~ 15 minuti). Quindi, se non desidero che il mio utente effettui l'accesso ogni 15 minuti, dovrei aggiornare il mio token ogni 15 minuti.
Devo mantenere una sessione valida per 7 giorni (punto di vista UX), quindi ho due soluzioni:
- usa token web json di lunga durata (1 settimana) - cattiva pratica?
- ottenere un nuovo token web json dopo che scade quello vecchio (JWT 15min, aggiornamento consentito per 1 settimana)
Sto forzando l'uso di HTTPS.
Lo standard JWT non parla di token di aggiornamento. Sta rinfrescando un token scaduto una buona strategia?