零信任 · 2025 年 1 月
为 SaaS 平台设计 JWT 过期策略
合理的 `exp` 既能降低泄漏风险,又不会破坏用户体验。本文总结了行业普遍采用的 TTL 与旋转做法。
推荐有效期
| Token 类型 | 建议 exp | 说明 |
|---|---|---|
| 交互式 Access Token | 5-15 分钟 | 配合静默刷新或短会话 Cookie。 |
| API Token | 1-5 分钟 | 依赖客户端凭证随时重新获取。 |
| 刷新 Token | 7-30 天 | 每次使用后旋转,并绑定设备信息。 |
刷新与撤销
实现刷新 Token 旋转机制,记录 `jti` 或设备 ID,一旦异常即可批量撤销。对于高风险区域,可临时缩短 Access Token 生命周期。
事件响应
- 准备好可快速下发的新密钥或新 `kid`。
- 向受影响客户推送强制重新登录通知。
- 在事件期间缩短所有 Token 的 `exp`,降低利用窗口。
自动化建议
JWTSecrets Enterprise 可针对应用设置最大有效期,超过阈值的 Token 会被拒绝,并生成安全事件。