每个人都在说使用刷新令牌在访问令牌到期后应该获取新令牌。但是使用过期令牌,我无法刷新令牌。
真的可以使用过期的令牌刷新令牌,还是应该在过期之前调用请求新令牌?
我在客户端的浏览器中拥有访问令牌。我已经在数据库中存储了刷新令牌。我在服务器上有一个API(/ getNewToken),如果我将emailID传递给API,它会给我新的令牌。 假设我的令牌已过期,所以我应该同时将过期的令牌传递给/ getNewToken API。我想过期的令牌在过期后就没有用了。
如果我不传递过期的令牌,则我的API不安全,因为任何人都可以通过传递一些emailID并获取新的访问令牌来调用API。