我正在使用angular和asp.net核心实现Web应用程序。我使用Jwt .Net库进行了自定义身份验证。我没有使用任何身份服务器提供程序。 验证用户身份后,我返回带有刷新令牌的访问令牌:
{access_token:“” eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 ....“, refresh_token:“ GDSDSGFDS ...”}
当请求刷新令牌时,我应该发送过期的访问令牌并对其进行验证还是刷新令牌足够?
还有一件事,我读到有关不将刷新令牌存储在浏览器中(角度一侧)的信息。还有其他选项可以应用刷新令牌方案吗?
答案 0 :(得分:2)
从客户端的角度来看,我说发送refresh_token就足够了。但是,如果数据库受到威胁,攻击者可以在数据库中查找refresh_token。
我了解到不将刷新令牌存储在浏览器中(角形)
我的建议是将刷新令牌存储在本地存储中,并且具有较短的访问令牌。