我是nodejs的新手,所以请多多包涵(如果我做错了事,请提前对不起)。
我目前正在做网站和移动应用程序的后端,我负责身份验证部分,所以这是我的方法:
我的第一个问题是如何将这些令牌发送回我的网站和移动应用程序?
我的解决方案:如果移动应用程序用户是发出请求的用户,则我将在响应正文中发送访问令牌并刷新令牌,如果请求是由网站用户发出的,我仍然会发送响应主体中的访问令牌,但刷新令牌会以httpOnly cookie的形式发送,因此这是处理它的最安全的方法,还是有更好的方法。
我决定这样做,以便每个用户设备都有一个刷新令牌,以便如果它被盗了,我可以检测到并撤消刷新令牌(假定撤消意味着删除刷新令牌)
因此,如果有人告诉我这是否是处理此问题的最佳方法,我将不胜感激。