我一直在开发我的第一个REST API作为移动应用程序的后端。我从不同的资源中提取信息,并且在令牌实现方面有点困惑(我使用JWT)。
访问令牌用于确保请求者可以访问正在调用的资源。我的理解是,然后我将在ID令牌中编码用户详细信息,以便可以返回相关信息。刷新令牌用作安全机制,以在短期ID和访问令牌过期后使用户进行身份验证。
访问令牌似乎有点多余,也许它是ID令牌的可互换术语?我可以从我的身份验证方案中删除该部分吗?
答案 0 :(得分:0)
在提议的方案中,访问和ID令牌可互换使用,并且不提供任何值。访问令牌中提供的所有信息都可以存储在ID令牌中,反之亦然。然后,整个身份验证方案将简单地包含访问令牌(包含访问权限和用户信息的信息)和刷新令牌(确保用户不需要每t分钟再次登录)。