Buduję aplikację mobilną i używam JWT do uwierzytelniania.JWT odśwież przepływ tokena
Wygląda na to, że najlepiej jest sparować token dostępu JWT z tokenem odświeżania, aby móc wygasać token dostępu tak często, jak chcę.
- Jak wygląda token odświeżania? Czy to losowy ciąg? Czy ten ciąg jest szyfrowany? Czy to kolejny JWT?
- Odświeżający token będzie przechowywany w bazie danych na modelu użytkownika w celu uzyskania dostępu, prawda? Wygląda na to, że powinno być zaszyfrowane w tym przypadku:
- Czy wysłałem odświeżający token z powrotem po zalogowaniu użytkownika, a następnie czy klient ma dostęp do oddzielnej trasy w celu odzyskania tokenu dostępu?
Uwaga: w przypadku korzystania z odświeżania tokenów należy umożliwić użytkownikom unieważnienie ich w interfejsie użytkownika. Zaleca się także automatyczne wygaśnięcie ich, jeśli nie są używane na przykład przez miesiąc. –
@jtmarmon: w jaki sposób przechowujesz token odświeżania po stronie klienta? Mam na myśli urządzenie z Androidem z bezpieczeństwem? – j10