我正在使用openid-connect授权提供程序来验证和授权Web应用程序中的用户。通过在线阅读,我了解到JWT令牌使应用程序具有可扩展性,因为服务器不需要为每个经过身份验证的客户端保持状态,而是可以将访问令牌存储在客户端中,而只需要为每个客户端进行验证请求。
但是,我对与JWT相处的刷新令牌感到困惑。我需要在哪里存储它们?由于它们似乎对于每个用户都是唯一的(refresh rest api不需要用户ID),因此将它们存储在服务器端会破坏可伸缩性。在线社区也不建议将它们存储在客户端。
不胜感激!