我有一个 React Native 应用程序,可以通过 JWT 身份验证访问我的后端。
当用户对后端进行身份验证时,返回一个 accessToken 和一个 refreshToken 想法是,这两个令牌都存储在 AsyncStorage 中,以及为两个令牌存储的 expirationTime .
现在的实现是这样,有一个 setTimeout 函数检查令牌是否即将到期并使用 refreshToken 更新 accessToken。
这让我想知道它使用 refreshTokens 进行了多少安全升级。
如果两者都存储在 AsyncStorage 中(在客户端上),两者都可以访问,那么拥有刷新令牌有什么意义?
如果攻击者可以访问客户端存储,他们可以简单地使用刷新令牌更新访问令牌?