Cześć,
zaczynam przygodę z web api i JWT w asp.net.
Wiele osób w przykładach podaje czas wygaśnięcia tokenu np. na 1 minutę. Chciałem się zapytać czy wygasanie tokenu po 1 minucie to norma czy to bardziej w celu zademonstrowania jak to działa?
Być może tego jeszcze nie rozumiem, ale wydaje mi się, że token nadawany jest w momencie logowania. Jeśli wygasa on po 1 minucie to czy to oznacza, że po 1 minucie użytkownik musi się ponownie logować? Czy może należy go wygenerować i przekazać w jakiś inny sposób?
Jak to wygląda w praktyce? Możecie polecić jakieś dobre materiały, które to opisują?
Z góry dziękuję za pomoc.
0
2
Hej, może ten wątek będzie pomocny: [SPA/Security] Front-end autentykacja JTW i co dalej z tokenem?
W skrócie, poza JWT masz też refresh tokeny. Po wygaśnięciu JWT możesz wyłapać status unauthorized i wtedy próbować odświeżać / pobrać refresh token.
edit: Wszystkim polecam tutki tego gościa, robi je dla różnych wersji .net core i angular i różnych scenariuszy: https://jasonwatmore.com/post/2020/05/25/aspnet-core-3-api-jwt-authentication-with-refresh-tokens
edit2: A czy 1min czy 10min dla JWT, osobiście wydaje mi się, że to zupełnie bez różnicy. Ale może ktoś bardziej doświadczony będzie miał odmienne zdanie.