我正在构建一个内置反应的前端,可以访问我正在构建的多个微服务api。对于auth,我已经构建了一个jwt登录系统,但是想知道处理刷新令牌的过程是什么。
jwt中的刷新令牌是否包含用户信息,或者它是否在自己的令牌中,具有不同的加密以提供额外保护?
如果它是自己的令牌,那么如果jwt无效且需要刷新,其他微服务应该如何响应应用程序。是否使用了常见的http状态代码?
我已经读过刷新令牌应该比你的jwt更安全,因为它可以用来发出jwts并且会有更长的活动时间。是否有任何额外的安全性可以在服务器端或客户端进行加密,而这些加密对于jwts尚未完成?
什么时候应该使用新令牌和时间戳刷新刷新令牌,使其无效?
答案 0 :(得分:2)
jwt中的刷新令牌是否带有用户信息,或者它是否在自己的令牌中,具有不同的加密以提供额外的保护?
如果您询问Oauth2中定义的刷新令牌,则在成功进行用户身份验证后,授权服务器将返回刷新令牌。它只是一个随机字符串。使用刷新令牌,客户端可以访问令牌(您的JWT)
如果它在自己的标记中,如果jwt无效并需要刷新,那么其他微服务应该如何响应反应应用程序。是否使用了常见的http状态代码?
他们必须拒绝该请求。使用401-未经授权
我已经读过刷新令牌应该比你的jwt更安全,因为它可以用来发出jwts并且会有更长的活动时间。是否有任何额外的安全性可以在服务器端或客户端完成,而这些加密可以在jwts上完成?
使用https获取刷新令牌。传统加密不会提高安全级别,因为令牌的拥有是身份验证证明。但你需要保持安全
什么时候应该使用新令牌和时间戳刷新刷新令牌,使其无效?
取决于系统。 Oauth2没有指定它。通常是长寿,但在某些情况下,我已经看到建议在每次使用后更新它。