我有使用laravel和一个客户端构建的rest API-移动应用程序。对于身份验证,不应有任何重定向。
- 我要确保仅从移动应用发出请求。例如,我可以要求移动设备发送带有标头的API KEY值,并在后端对其进行检查,但是来自移动应用程序的所有流量都可能泄漏。如何获得此授权?
- 在移动应用上,用户将有机会进行身份验证。他们将提供用户名和密码。目前,我在后端生成JWT令牌,并将其作为响应发送到移动应用程序。从移动应用发出的所有其他请求都应包含带有令牌值的授权标头,这就是我知道后端谁是谁的方式。我的问题:
- 该令牌应如何刷新?目前,我有刷新令牌方法,该方法接受旧令牌并返回新令牌作为响应。但是任何攻击者都可以使用它,因此我认为它没有用。
- 我已阅读有关访问和刷新令牌的方法。您能否解释一下此方法相对于单个JWT令牌的优势是什么?访问和刷新令牌也可能被泄漏,这有什么意义?
我很困惑。