标签: authentication jwt refresh-token
我正在研究 JWT 刷新令牌,我试图了解为什么短期 JWT 令牌需要刷新令牌。了解刷新令牌将用于在过期后更新短期访问令牌,因为它可以防止攻击者在使用长期访问令牌时访问 Web api。然而,这个问题让我很困惑,如果攻击者能够获得访问令牌,他是不是就可以调用刷新令牌 API 来获得另一个访问令牌,那么刷新令牌不是多余的吗?< /p>