Вопрос:
у client_assertion есть expiration_date - предлагаем дату задавать самостоятельно на стороне банка-эмитетнта токена.
Ответ:
Да, если под токеном подразумеватся assertion:
-- client_assertion должен включать дату истечения срока действия. Это важный аспект безопасности, который предотвращает повторное использование и атаки с повтором. В контексте OAuth 2.0 и OpenID Connect,
-- client_assertion используется клиентом для аутентификации при получении токенов и должен быть оформлен как JWT (JSON Web Token).Включение даты истечения в client_assertion:
-- В client_assertion срок действия указывается с помощью exp
(expiration) claim, который задаёт время истечения в формате UNIX epoch (количество секунд с 1970-01-01T00:00:00Z UTC).