token为什么要设置过期时间？

不设置时间, 要登陆系统干嘛?
拿一个token万年访问你的网站.

不过期也就是说"过期时间为永久",只是过期策略的一个特例，所以需要有这个配置，至于选择什么样的策略，针对不同项目有不同的选择

token的用处有很多，但是它宽泛点的定义就是唯一的用户标识,比较常见的可以用作用户权限验证和多用户关联（用户A ：www.xxx.com?token=用户A的token）点击关注用户A，如果想使用tuken，推荐JWT , (Json Web Token) 去查找些相关资料.

token跟身份证是一个道理的。怀疑token有失效时间，那么你是否质疑身份证是否也应该有有效期呢~23333

可能你想的是token在有效期内，别人拿token已让可以进行操作。其实说设置过期时间就一定安全吗，也不一定，但是有一点，不设置是肯定不安全的