我正在开发一个网络应用,其中包含一些关于医院患者的极其敏感的数据。我收到的要求之一是,如果用户在大约 10-15 分钟不活动时必须注销,以减少出现漏洞和数据泄漏的任何机会。需求中推荐的方式是实现访问/刷新令牌机制,并使访问令牌在服务器端每 15 分钟到期一次,而不是在客户端运行计时器(标记为不可靠,特别是如果客户端有问题)。但是我很难弄清楚用户不活动和刷新令牌机制如何相互关联,它如何准确地集成到 aws lambda(节点)/react js 环境中。我以前曾在 JWT 上工作过,但就“凭证到期”机制而言,我没有关于如何将其与用户不活动相关联并涵盖所有不活动情况的起点,例如用户关闭笔记本电脑,用户离开浏览器选项卡打开一个小时(必须导致必须重新登录)。