[我读过here,我想知道服务器是否应该在一段时间后撤消刷新令牌并强制用户再次登录?
银行(或存储敏感数据的任何网站)在给定用户刷新令牌200天后会做什么?是否应该允许用户继续使用该网站?我了解它涉及到用户交互,因此这不是一件容易自动化的事情。
刷新令牌的生存期(或启用)由控制资产的管理员(而不是最终用户)决定。
首选使用短期令牌-从技术上讲它很简单,维护成本为零