当访问令牌过期时,它应该重新发出刷新令牌
在这一点上,我有点犹豫哪种方法更好。
对于访问令牌,它会根据每个请求传递HTTP标头。
推荐哪一个?
答案 0 :(得分:9)
jwt规范建议(但不要求)在Bearer类型的授权标头中发送访问令牌。但是没有提到刷新令牌。
刷新令牌是Oauth2的概念。如果您阅读Rfc6749 specification,要刷新访问令牌,则使用POST请求中的表单参数发送刷新令牌
<强> 6。刷新访问令牌 ...
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
您可以使用oauth2的示例作为参考(在正文中传递),但如果您不使用oauth2,则没有义务,因此请使用该方法发送最适合您项目的方法。