Устаревшая информация в полезной нагрузке jwt token

Question

Как указано в jwt.io «Полезная нагрузка содержит любую произвольную информацию в виде претензий, которые мы, как разработчики, находят полезными для наших приложений». Поэтому я думаю, что было бы удобно разместить там username, email и так далее. В этом случае мне не нужно получать эту информацию из базы данных или файловой системы во время процесса аутентификации. Он рекламируется как преимущество, если приложение распространяется на многих серверах.

Но я вижу здесь одно раздражающее препятствие. Что делать, если полезная нагрузка была изменена в результате изменения информации учетной записи пользователя? Все старые выпущенные токены остаются действительными, поскольку подпись все еще действительна. Поэтому я получаю неправильную информацию учетной записи пользователя из старой полезной нагрузки токена.

Я пропустил что-то в идее за токенами jwt?

Answer 1

Существует необязательная заявка exp для JWT, которая указывает время истечения срока действия, после которого токены отображают недействительными и должны быть отклонены приемником. Идея жетонов JWT заключается в том, что вы выпускаете их с отметкой времени exp, которая говорит до тех пор, пока информация в JWT не будет действительна.

Если информация об учетной записи пользователя изменяется ежедневно, то exp не должен превышать 24 часа перед выпуском JWT. После этого отметки времени отправитель должен выйти и получить новый JWT перед отправкой его получателю, чтобы информация в новом JWT была свежей.