我目前正在与Unity开发多人转牌基础卡游戏。多人游戏架构将使用websocket(NodeJS Socket.IO),为了安全起见,我在访问令牌过期后使用JWT和刷新令牌。
每当我向websocket发出请求时,我都会发出请求以及访问令牌。当访问令牌到期时,我应该撤销具有刷新令牌的新访问令牌。我关心的是刷新令牌处理。我是否应该向客户端发出请求以获取刷新令牌并将刷新令牌重新发送回websocket以更新访问令牌?要更新访问令牌,我将通过数据库验证刷新令牌以确保令牌有效。我想知道整个过程是合适的并导致任何延迟(滞后),因为它是实时多人游戏。
任何人都可以提供一些建议吗?
答案 0 :(得分:0)
如果您看到基于访问/刷新令牌进行身份验证的传统HTTP API,则应用程序会自行跟踪令牌的到期时间(这意味着JWT应该具有exp时间戳)。如果应用程序检测到访问令牌即将过期,则它会从服务器提取新刷新令牌。
同一流程在此处有效