我正在尝试使用OAuth 2构建授权和身份验证系统,我对生成不同字符串有一些疑问。
client_id:为了生成client_id,我使用来自mongoDB的{{3}},其格式为:507f1f77bcf86cd799439011 client_secret:我使用由NodeJS的ObjectId模块创建的随机生成的字符串(48个字符)access_token:目前,我使用的是JWT令牌,因为我喜欢能够通过该令牌保存信息的原则,并且无需在每次请求时查询身份验证服务器即可访问资源(无状态架构) )。 refresh_token:我还想将JWT用于此类令牌。问题是:在OAuth 2中使用JWT令牌是不好的做法?如果这是一个不好的做法为什么?我的client_id和client_secret一代是不是很糟糕?