我正在用Spring Boot和Angular构建SPA。 我已经用jwt实现了一个简单的身份验证。效果很好,但现在我设置了很长的过期时间 而且我还没有刷新令牌。
我想改进它,但是我有疑问:
我想我了解刷新令牌的概念。访问令牌的寿命应较短。前端必须为每个需要验证的后端请求添加acces令牌。 过期后,前端应在发送原始请求之前使用刷新令牌(寿命长)来更新访问令牌。 这样,当acces令牌过期时,不会提示用户登录。 这是否意味着在刷新令牌尚未过期的情况下,用户将永远不会断开连接?
必须刷新令牌为jwt令牌吗?随机生成的字符串还不够吗?如果可以,我可以将它放在jwt有效负载中吗?
如果我将JWT令牌存储在hhtpOnly cookie中,并且启用了CRSF保护以免受春季安全保护,这是一个好习惯吗? 如何用新令牌替换cookie中的信息?
感谢您的回答