сессии - неделя, потом разлогинить?
или как?
По разному делают
у меня обновление токена каждые 15 мин, срок жизни 1 час, потом logout
чем дольше время жизни - тем менее секьюрно
Обычно лепят так (даже не разбираясь, какую секюрность это дает, дает ли и зачем нужно) - refresh token (живет долго) // юзер хочет что бы его не разлогинивало - access token (живет мало) // в header на каждый запрос - response.status === 401, refreshTokens(refreshToken) // пробуем получить новую пару токенов Еще и кладут куда нибудь в localStore ps: refresh token это в сторону oAuth2, не JWT. Вообще почитайте что нибудь на эту тему, везде почему то обобщают понятия в итоге делают одно, а по факту выходит совсем другое, но работает, работает так как ожидалось, ну и хрен с ним.
Обсуждают сегодня