我正在创建REST API并使用用户名和密码实现基于令牌的auth / auth。在线阅读后,似乎我可以实现一个简单的版本,用户名/密码验证客户端我可以生成一个访问时间短(签名的JWT),并将其发送给客户端。
我读到了有关刷新令牌的信息 - 它们如何用于续订和获取新的访问令牌。我想知道如何实现刷新令牌部分,因为当设备是Android移动设备时,即使刷新令牌不安全也可以生根。那么,如何安全地实现刷新令牌部分以获得新的访问令牌。
一种方法:以最简单的方式将刷新令牌和访问令牌存储在移动设备上,然后在服务器端分析API请求的使用 - 我的意思是检测任何奇怪的使用模式。