使用JWT实现身份验证。建议对令牌的所有到期/无效情况使用 <FrameLayout
android:id="@+id/container"
android:layout_width="match_parent"
android:layout_height="match_parent"
android:layout_alignParentStart="true"
android:layout_alignParentTop="true"
android:layout_marginTop="53dp">
<include layout="@layout/layout_bottom_navigation_view" />
</FrameLayout>
状态代码。但是,使用来自客户端的刷新令牌进行重试只能在过期的&#39;案件,而不是无效&#39;案件。那么,如何将这些案例与适当的状态代码区分开来? (即,第一种情况可以使用什么状态代码,第二种情况可以使用什么状态代码?)
答案 0 :(得分:0)
我不建议区分这些案例,以便您可以保持自包含,因为还有许多其他案例可能会导致访问令牌被禁止。
从理论上讲,提供程序可能会更改刷新令牌生成过程的实现,因此只有在获取访问令牌时客户端始终获得最近的刷新时,刷新令牌才有效。
如果您仍想区分这些案例,那么您可以添加理由来响应有效负载并构建逻辑来处理每个原因。但是,如果您想向用户提供理由,这仍然是一个必须解决的安全问题,因为您在打开攻击大门时会向客户提供尽可能多的信息。
答案 1 :(得分:0)