De acuerdo con el RFC de JWT, un token de JWT puede tener opcionalmente un jti que interpreto como una ID única para un token de JWT. Parece que un UUID es un buen valor para un jti. La RFC afirma que la jti puede usarse para evitar que la JWT se reproduzca. Dos preguntas.
- ¿Cómo evita un JTI que se reproduzca un JWT?
- ¿Con qué frecuencia debe regenerarse el campo JTI? En cada solicitud? ¿O solo cuando se genera un nuevo token?
La reclamación "jti" (JWT ID) proporciona un identificador único para el JWT.
El valor del identificador DEBE asignarse de una manera que garantice que
hay una probabilidad insignificante de que el mismo valor sea
asignado accidentalmente a un objeto de datos diferente; si la aplicación
utiliza múltiples emisores, las colisiones DEBEN ser prevenidas entre los valores
Producido por diferentes emisores también. El reclamo "jti" puede ser usado
para evitar que el JWT se reproduzca. El valor "jti" es un caso-
cadena sensible El uso de esta reclamación es OPCIONAL.