当我登录我的应用程序时,我将存储在本地存储中的访问令牌返回给用户,并且刷新令牌通过仅HTTP cookie返回。
我还有一个端点/ refresh,将刷新令牌发送到该端点(位于cookie中,该令牌被携带到path = /“ refresh”),并在那里返回新的访问令牌。问题是当我添加@jwt_refresh_token_required装饰器时,它将检查Authorization标头中是否存在刷新令牌。
我看到我可以像这样app.config['JWT_TOKEN_LOCATION'] = ['cookies']明确地告诉flask在cookie中找到令牌:
但是,有些路由希望从Authorization标头中获取访问令牌,因此我不能放置此行。
如何验证仅刷新令牌是通过Cookie在此请求中发送的,并使其在Set-Cookie标头中签入,同时又保持访问令牌要通过Authorization标头发送?