我正在React Native上构建一个混合应用程序,我们在后端使用Django rest框架。我们正在使用JWT保护应用程序安全,该应用程序的用例涉及存储敏感信息。
问题在于JWT到期。我需要使用accessToken来访问API以获取新令牌,这可以正常工作,并且如果用户每天打开应用,令牌也不会过期,这几乎是不可能的。
自用户打开应用程序以来,令牌每隔几天就会注销,令牌已过期。有没有更好的方法来解决这个问题? Facebook应用程序,Google Pay应用程序永远不会注销用户。
我试图保留一个与用户相关联的变量,以表明他是移动应用程序用户,因此除非他明确注销或这样做,否则永不过期该令牌,但是我进行过审查,这是一种危险的方法。
答案 0 :(得分:0)
您不应该使用access_token来获得一个新的! 正确的方法是每次您发出access_token时都向用户提供一个refresh_token。 refresh_token是一个长期的一次性使用令牌,用于获取新的access_token。 您可以搜索以了解有关refresh_token的更多信息。