我正在学习无状态jwt身份验证概念,并尝试在nodejs服务器端实现该过程。
我对刷新令牌感到非常困惑。除了仅使用一个访问令牌,我看不到任何好处。
我可以使用以下方法简单地实现访问令牌:
人们说,刷新令牌更安全,但我不这样做。您可以将访问令牌和刷新令牌都保存在计算机上的Cookie或本地存储中,如果“小偷”可以获取您的访问令牌,那么他也可以获取您的刷新令牌。我看不到刷新令牌有任何安全性好处。这样只会使过程变得不必要而复杂。
为什么这个概念仍然如此受欢迎?
答案 0 :(得分:1)
Auth0上有一篇不错的文章。简而言之,您可以将访问令牌存储在任意位置,因为它是否泄漏或是否有人在您使用它的地方拦截了请求都无关紧要。
但是刷新令牌需要存储在一个安全的位置,并且如果它已被泄露,则服务器可能会将其列入黑名单。