Si entiendo las mejores prácticas, JWT generalmente tiene una fecha de caducidad que es de corta duración (~ 15 minutos). Entonces, si no quiero que mi usuario inicie sesión cada 15 minutos, debo actualizar mi token cada 15 minutos.
Necesito mantener una sesión válida durante 7 días (punto de vista de UX), así que tengo dos soluciones:
- use el token web de json de larga duración (1 semana) - ¿mala práctica?
- obtener un nuevo token web json después de que caduque el anterior (JWT 15min, actualización permitida durante 1 semana)
Estoy forzando el uso de HTTPS.
El JWT standard no habla sobre la actualización de tokens. ¿Es una buena estrategia actualizar una ficha caducada?