令牌过期的最佳实践是什么 - 使用收到的令牌过期或创建和配置 JWT 过期？

在使用 SAML 的单点登录 (SSO) 上下文中，处理令牌过期的最佳实践通常取决于您的用例的具体情况和应用程序的要求。但是，以下是这两个选项的一些注意事项：

选项 1：使用接收到的 SAML 令牌中包含的到期时间。

优点：

1. 标准化方法：SAML 令牌通常带有内置的过期时间戳。依赖此过期时间遵循 SAML 标准，是一种广泛接受的做法。
2. 降低复杂性：您无需管理和同步不同令牌的多个过期时间。

缺点：

1. 有限控制： 过期时间由身份提供商 (IdP) 设置。如果您的应用程序有更严格的要求或需要强制执行特定的会话持续时间，则此方法可能无法提供足够的灵活性。

选项 2：创建新的 JWT 令牌并设置其自己的过期时间。

优点：

1. 灵活性：您可以控制 JWT 令牌的过期时间，允许您根据应用程序的具体要求自定义会话持续时间。
2. 一致的会话处理：如果您的应用程序将 JWT 用于其他目的，则采用一致的令牌过期方法可能会简化整体令牌管理。

缺点：

1. 增加复杂性：管理和同步 SAML 令牌和 JWT 令牌之间的过期时间会增加复杂性。当任一令牌过期时，您需要处理令牌刷新或重新身份验证。
2. 潜在的不一致：如果管理不当，SAML 令牌和 JWT 令牌的过期时间可能会发生变化，从而导致意外行为。

建议：

1. 与标准保持一致：如果您的 SSO 解决方案主要依赖于 SAML 并且您的 IdP 强制执行合理的过期时间，则使用 SAML 令牌的过期时间是一种简单且符合标准的方法。

2. 混合方法：考虑采用混合方法，使用 SAML 令牌的过期时间作为基准，但如果需要，则颁发 JWT 令牌以进行额外的会话管理。

3. 用户体验：考虑对用户体验的影响。过于频繁地强制用户重新进行身份验证可能会带来不便，而会话持续时间过长可能会带来安全风险。

4. 安全影响：评估延长会话持续时间的安全影响。如果用户的会话受到威胁，较长的会话可能会增加未经授权访问的机会。

总而言之，我想说没有一种一刀切的解决方案，最好的方法取决于您的应用程序的具体要求和限制。与既定标准保持一致，同时考虑根据应用程序的需求进行定制通常是有益的。