什么时候是使用JWT注销用户的正确时间，访问令牌到期的时间或刷新令牌到期的时间？

Question

1. 我正在使用JWT验证用户身份。我可以看到JWT生成的两种令牌（访问令牌以向后端发出请求和刷新令牌）。因此，我的问题是何时该注销用户？访问令牌到期的时间或刷新令牌到期的时间？
2. 根据用户的活动或非活动状态，使用刷新令牌端点获取新访问令牌的更好方法是什么？

Answer 1

刷新令牌存在，因此即使访问令牌过期后，您的服务仍可以代表用户继续使用用户的凭据。因此，如果您有刷新令牌，则无需在用户的访问令牌到期时“注销用户”

  

刷新令牌包含获取新的访问令牌或ID令牌所需的信息。

     

通常，当用户首次获得对资源的访问权时，或者在之前授予他们的访问权令牌到期后，用户需要一个新的访问权符。

https://auth0.com/docs/tokens/refresh-token/current

如果您让访问令牌到期并且不使用刷新令牌来生成新的访问令牌，那么如果您想代表他们执行某些操作（使用访问权限访问资源，则用户将不得不再次登录）令牌）。当用户的刷新令牌过期时，将“注销”该用户。用户无需激活就可以使用其刷新令牌