我正在使用microsoft OWIN在首次登录时生成访问和刷新令牌。我知道刷新令牌用于发出新的访问令牌。但我的问题是
1.如果应用程序处于空闲状态且访问令牌即将过期,我们是否需要生成新的访问令牌?如果是,那么应用程序永远不会超时。
2.如果我们需要生成新的访问令牌,我们是否需要仅手动请求令牌,或者在访问令牌期间消耗任何API方法时我们需要生成新的访问令牌?
我一直在引用许多网站上的reshing令牌,但每个人都有一个答案,当访问令牌即将到期时,我们必须使用刷新令牌获取新的访问令牌。这是一个明显的答案。如果我们继续刷新而不验证应用程序闲置然后应用程序将永远不会达到超时条件。
我是这个概念的新手所以我会请求大家帮助我了解实际的安全标准以使用刷新令牌。
提前谢谢。