我正在尝试在我的一个项目中实现基于JWT的身份验证系统,并且在需要澄清的两个选项之间卡住了。我提出了两种实现JWT的方法,如下所示:
答案 0 :(得分:1)
这是一个很好的解释https://auth0.com/learn/refresh-tokens/
刷新令牌是长期存在的。这意味着当客户从 服务器上,必须安全地存储此令牌,以防止被他人使用 由于潜在的攻击者使用,因此,存储不安全 它们在浏览器中。如果刷新令牌泄漏,则可以将其用于 获取新的访问令牌(和访问受保护的资源),直到获得 列入黑名单。刷新令牌必须颁发给单个已认证 客户以防止其他方使用泄漏的令牌。访问 令牌也必须保密,但由于其寿命较短,安全性高 注意事项不太重要。
另外,会话可能已被劫持或修复。
如果您使用SSL,则所有标头均已加密。
因此,我将首选本机JWT机制,并会注意客户端上auth令牌的存储。
答案 1 :(得分:0)
这是我的一些澄清,