我对基于JWT的身份验证很新。我对刷新令牌机制非常困惑。在我的情况下,我将我的应用程序设计为,
1.用户将登录该应用程序,当登录成功后,它将进入验证服务器并签署一个jwt并将其传递给客户端。
2.然后客户端将刷新令牌和短期令牌存储在本地存储器中
3.一旦调用资源服务器,将通过标头发送令牌。并将得到验证。
我的问题是,我们应该使用刷新令牌机制请求另一个令牌。我们应该在将请求发送到资源服务器之前检查短期令牌是否被激活。或者,如果资源服务器中的验证失败,我们是否应该获得新的令牌?还是有更好的方法来处理这个问题?
答案 0 :(得分:0)
刷新令牌是一种特殊的令牌,可用于获取更新的访问令牌 - 允许随时访问受保护的资源。
虽然可以使用刷新令牌随时更新访问令牌,但旧版本已过期时更新,或者第一次访问新资源时更新。刷新令牌永不过期或有很长的过期时间。