En un token diferente, por ejemplo, SAML, me he encontrado con que he visto que incluye la marca de tiempo para cuando se creó. Entiendo el motivo de una marca de tiempo de caducidad, pero antes de que se cree el token, no existe, por lo que no entiendo el motivo.
Ideas. Da la posibilidad al receptor de especificar el tiempo de expiración. Toma en cuenta el tiempo de la máquina no sincronizada
A menudo he usado la marca de tiempo creada como una forma de probar la singularidad. El supuesto general es que la granularidad de la marca de tiempo será lo suficientemente única como para que un receptor determinado pueda asumir que solo se recibirá una solicitud con la marca de tiempo o con un valor único que incluya la marca de tiempo.
Eso evitaría algunas formas de ataques de repetición, donde un atacante obtiene una copia de una solicitud autenticada y la reproduce más adelante para obtener información actualizada sin tener las credenciales necesarias.