我使用访问令牌和刷新令牌来验证我的asp.net core 2 API用户。
当用户实际单击注销按钮时,我会清除包含访问令牌和刷新令牌的本地存储。
但是我想知道是否应该打一个额外的电话并删除刷新令牌。
答案 0 :(得分:0)
是的,我想你应该。关于清除旧的刷新令牌或使其保持最新状态,存在很多不同的意见。实际上,主要目的是保留刷新令牌,以便以后可以重用它们。 但是,即使人们通过单击按钮注销,也可以清除这些刷新令牌。
但是,如果您希望在不重新登录的情况下将它们保留在您的网站上更长的时间,则可以使用刷新令牌重新颁发访问令牌。因此,用户的身份验证令牌将更有效。但是,如果用户想自己注销,则应清理该日志并在下次登录时再次存储。