我做了一个简单的测试应用程序,它使用混合流进行身份验证。 我将刷新令牌存储为声明,因此我可以刷新令牌。
但建议的最佳做法是什么?
我应该在哪个事件上验证到期日期?或者我应该等待未经授权的活动?这有什么例子吗?
我知道我可以在提出请求之前检查令牌的过期,或者我可能会等待未经授权的人,但是在做什么事情或者做什么事情时,是否有任何建议的最佳实践方式?
答案 0 :(得分:3)
您通常将刷新令牌存储在某个持久性数据存储中,因为它的重点是获得对API的长期访问。
然后您可以使用访问令牌,只要它有效(例如,使用它直到您从APII获得401)。然后使用刷新令牌刷新令牌。