Ho una webapp senza stato che usa un token JWT. Alla fine scadrà, il che è OK, ma non voglio che scada mentre l'utente sta lavorando . Invece, vorrei che il token scada dopo un certo periodo di inattività.
Diciamo che il mio token è valido 60 minuti, è giusto inviare un nuovo JWT su ogni richiesta? In questo modo, finché l'utente sta lavorando, il suo token sarà rinnovato (per quanto tempo mentre effettua una richiesta all'ora), ma dopo più di un'ora di inattività, il token scadrà.
Non voglio usare i token di aggiornamento stateful. Un timer sul lato del cliente eliminerebbe il token non appena scade.
Mi manca un grosso difetto con questo approccio? (tranne impatti evidenti sulle prestazioni a causa di accessi DB più frequenti)