我对基于 JWT 的身份验证很陌生。我对刷新令牌机制感到非常困惑。就我而言,我将我的应用程序设计为,
1.用户将登录到应用程序,登录成功后,它将转到身份验证服务器并签署JWT,并将其传递给客户端。
2.然后客户端将刷新令牌和短期令牌存储在本地存储
中 3. 调用资源服务器后,令牌将通过标头发送。并将得到验证。
我的问题是,我们应该在哪一点上使用刷新令牌机制请求另一个令牌。我们是否应该在将请求发送到资源服务器之前检查是否插入了短生存期令牌。还是应该在资源服务器中的验证失败后获取新令牌?或者有更好的方法来解决这个问题吗?
刷新令牌是一种特殊的令牌,可用于获取更新的访问令牌,该令牌允许随时访问受保护的资源。
尽管可以使用刷新令牌随时续订访问令牌,但应在旧令牌过期或首次访问新资源时续订访问令牌。刷新令牌永不过期或过期时间很长。