À quoi sert le jeton Web JSON (JWS) émis dans le champ "iat"?
RFC 7519 spécifie un champ "iat" facultatif, indiquant quand un jeton a été émis. Le RFC fournit un commentaire concis:
Cette allégation peut être utilisée pour déterminer l'âge du JWT.
À quoi sert le champ "iat"? Par exemple, pourquoi voudrait-on déterminer l'âge d'un JWT? Y avait-il des objectifs spécifiques à l'esprit lorsque la spécification a été créée?
Edit: Notamment, x509 n'a pas de champ analogue , bien qu'il puisse souvent être que Not Before est très proche de "Issued At". Une autre façon de formuler cette question est la suivante: pourquoi JWT fait-il délibérément la distinction entre "délivré à" et "pas avant"?
À quoi sert le champ "iat"? Par exemple, pourquoi voudrait-on déterminer l'âge d'un JWT? Y avait-il des objectifs spécifiques à l'esprit lorsque la spécification a été créée?
"iat" peut aider le service qui a reçu le JWT à prendre des décisions par lui-même au lieu de dépendre de l'émetteur pour un délai d'expiration fixe (suggéré dans le commentaire de Joe ci-dessus).
Un émetteur JWT pourrait également définir à la fois une heure d'expiration "exp" et une heure d'émission "iat" - le service recevant le jeton pourrait décider que la date d'expiration est beaucoup trop longue, et la rejeter après un intervalle plus court qu'il peut calculer avec "iat".