我正在尝试使用djangorestframework_simplejwt包在DjangoRestFramework后端上实现JWT身份验证。我正在按照以下链接进行操作
前端将在Angular中开发。
我的理解: 现在,JWT返回一个访问令牌(短期)和一个刷新令牌(长期说24小时)。假设访问令牌在5分钟后过期。现在,我们需要将刷新令牌发送到后端,以获取具有新到期时间的新访问令牌。
我的困惑是,是否将刷新令牌用于在用户不知情的情况下隐式更新访问令牌?如果是,则应采取哪种动作触发该动作。例如,如果用户登录后闲置5分钟,然后单击某个链接到后端Rest API的链接,我是否会隐式刷新访问令牌?如果是,那么在我们仍然允许访问时,为什么不只拥有一个有效期长的令牌?
另一个问题是,如果我只是出于安全原因只希望从后端发回令牌而没有嵌入任何用户信息,该怎么办?使用此程序包可以吗?
预先感谢