标签: json jwt
我目前正在为应用构建身份验证。当用户注册或登录时,刷新令牌和访问令牌都设置在 cookie 中,并且在每个请求中,我检查访问令牌是否有效,如果不是,则如果用户具有有效的刷新令牌,则刷新它。正如我读到的关于 JWT 的最大抱怨是,如果有人获得了另一个用户的令牌,他们可以冒充该用户。根据我的理解,如果一个人可以获得其他用户的访问令牌,那么他们可能可以轻松获得他们的刷新令牌,然后仍然可以冒充他们。所以我的问题是刷新令牌如何防止这种情况发生?也许我错过了什么。