Концептуально мне очень нравится JWT, поскольку он соответствует безгражданству REST и т.д. (без сохранения состояния на стороне сервера, все релевантные данные содержатся в токене).
О чем я не уверен: как бы вы справились с истечением токена, когда не подключены (т.е. функциональность "помнить меня" )?
В Интернете появилось освещение JWT, но я не мог найти никого, кто бы ответил на вопрос об истечении срока.
Уточнение: Я не спрашиваю, как обращаться с токеном в ближайшее время, но что делать, когда токен уже истек (пользователь закрыл сайт/приложение на некоторое время). Самое простое решение, которое приходит мне на ум, - это кеширование учетных данных пользователя, что довольно небезопасно.