我正在开发用于身份验证的Web API,它将使用基于令牌的身份验证来进行身份验证,并且我正考虑将刷新令牌保存为令牌本身,就像我们对用户ID所做的那样,因此当应用程序请求登录时我将返回包含以下 {token:“令牌值+刷新令牌值””,refresh-token:“刷新加密令牌值”} 的对象,并且我不会保存刷新数据库中的令牌。
当令牌过期时,用户将令牌与刷新令牌一起发送,例如 {令牌:“令牌值+刷新令牌加密值”,刷新令牌:“刷新令牌值”} 在服务器上,我将解析令牌以获取刷新令牌,而不是从数据库中获取刷新令牌,之后,我将令牌中存储的值与 refresh-token 字段的值进行比较。
我不确定这是否是一种好习惯?