Come decidere il tempo di scadenza del token nel servizio web REST

In generale, direi che dipende da cosa è l'API.

• Se i tuoi utenti effettueranno la chiamata occasionale, allora una breve scadenza andrà bene - alcuni minuti, forse; il tempo sufficiente per coprire una seconda chiamata in caso di errore con il primo.
• Se lo useranno in sessioni più lunghe, sarà necessario più tempo; circa il doppio della durata della sessione media sembra ragionevole, quindi se l'utente medio utilizza il software in un modo che genera chiamate API per circa venti minuti, allora dovrebbe essere sufficiente una scadenza di trenta o quaranta minuti.
• Se l'API viene utilizzata in modo più continuo, forse da un'app mobile che si aggiorna regolarmente tutto il giorno, allora è un giudizio.
  • Se le chiamate sono sufficientemente distanti, allora un token breve va bene, come nel primo esempio; dovranno eseguire l'autenticazione ogni volta, ma non in caso di ri-invio in caso di errore.
  • Se le chiamate sono più frequenti, è solo una questione di quanto a lungo pensi sia "sicuro"; Direi decisamente non più di un giorno. Se hai la possibilità di farlo, prova a sincronizzare alcune chiamate, senza token, un token valido e un token scaduto. Quindi, guarda il tuo utilizzo medio e vedi quanto spesso genera chiamate API. Direi di impostare il tempo di scadenza in modo che il tempo medio per tutte le chiamate non sia superiore a 1,5 volte la chiamata media con un token valido (ad esempio, il processo di acquisizione di un nuovo token non aggiunge più del 50% al totale tempo). Se ciò si verifica lentamente durante i test, riduci la frazione a 1,45, 1,4, 1,35 ecc. Finché non si sente bene.