我有一个 React Native 应用程序,可以通过 JWT 身份验证访问我的后端。
当用户对后端进行身份验证时,返回一个 accessToken
和一个 refreshToken
想法是,这两个令牌都存储在 AsyncStorage
中,以及为两个令牌存储的 expirationTime
.
现在的实现是这样,有一个 setTimeout
函数检查令牌是否即将到期并使用 refreshToken 更新 accessToken。
这让我想知道它使用 refreshTokens 进行了多少安全升级。
如果两者都存储在 AsyncStorage
中(在客户端上),两者都可以访问,那么拥有刷新令牌有什么意义?
如果攻击者可以访问客户端存储,他们可以简单地使用刷新令牌更新访问令牌?