JWT刷新令牌流

 

我正在构建移动应用程序,并正在使用JWT进行身份验证。

看起来最好的方法是将JWT访问令牌与刷新令牌配对,以便我可以按照需要频繁地过期访问令牌。

  • 什么是刷新令牌? 这是一个随机字符串吗? 该字符串是否被加密? 它是另一个智威汤逊吗?
  • 刷新令牌将存储在用户模型的数据库中以进行访问,是否正确? 它似乎应该在这种情况下加密
  • 我是否会在用户登录后将刷新令牌发回,然后让客户端访问单独的路径来检索访问令牌?

    • 假设这是关于OAuth 2.0的,因为它是关于JWT和刷新令牌的:

  • 就像访问令牌一样,原则上刷新令牌可以是任何东西,包括您描述的所有选项; 当授权服务器想要无状态或希望对呈现它的客户执行某种“拥有证据”语义时,可以使用JWT; 请注意,刷新令牌与访问令牌不同之处在于,它不会呈现给资源服务器,而只会出现在首先发布给它的授权服务器上,因此,JWT作为访问令牌的自包含验证优化工具不支持刷新令牌

  • 这取决于数据库的安全性/访问权限; 如果数据库可以被其他方/服务器/应用程序/用户访问,那么是的(但是你的里程会随着你在哪里以及如何存储加密密钥而变化)

  • 授权服务器可以同时发布访问令牌和刷新令牌,具体取决于客户用于获取它们的授权; 该规范包含每个标准化赠款的详细信息和选项

    • 基于带有刷新令牌的JWT的Node.js的此实现:

    1)在这种情况下,他们使用一个uid,它不是一个智威汤逊。 当他们刷新令牌时,他们发送刷新令牌和用户。 如果您将其作为JWT实施,则不需要发送用户,因为它将位于JWT内部。

    2)他们在一个单独的文档(表格)中实现它。 它对我有意义,因为用户可以在不同的客户端应用程序中登录,并且可以通过应用程序获得刷新令牌。 如果用户丢失安装了一个应用程序的设备,则该设备的刷新令牌可能会失效,而不会影响其他登录设备。

    3)在这个实现中,它使用访问令牌和刷新令牌来响应登录方法。 它接缝对我来说是正确的。

    链接地址: http://www.djcxy.com/p/22019.html

    上一篇: JWT refresh token flow

    下一篇: JSON Web Token (JWT) benefits over a database session token