我正在实施API的授权和身份验证流程。我在考虑使用两条腿的OAuth(因为API只会被我们使用,而不是第三方应用程序)。但是我发现了一些关于令牌及其有效期的问题。
我会使用用户的用户名和密码向 / ouath / token 请求access_token。此端点应将JWT作为access_token返回。
API的下一个请求将使用该JWT对用户进行身份验证。
JWT应该在一段时间内到期(例如1天)。我已经阅读了我需要实现一个刷新端点,其中应用程序可以刷新JWT,以便每天都不要求用户输入用户名和密码。
那么,¿我怎么能生成那个refresh_token? JWT不需要存储在DB中(因为它们背后有加密)但是,应该存储刷新器吗?
提前致谢
答案 0 :(得分:0)
你可以用任何一种方式实现它,两者都有其优点和缺点。