我有一个没有用户帐户的应用程序,因此不需要登录。目前,我正在通过api中的/get-token端点使用JWT进行身份验证,该UI在UI启动后立即被调用,并返回用于进行前进调用的调用的承载令牌/
当该令牌到期时,我对如何处理感到困惑。我当时在考虑使用刷新令牌,但是我看过的所有教程都将刷新令牌传递回UI,这不安全吗?我一直认为刷新令牌是内部的,并且仅在服务器上用于刷新过期的令牌。
处理此问题的最佳方法是什么?
刷新令牌携带获取新访问令牌所需的信息。换句话说,无论何时需要访问令牌来访问特定资源,客户端都可以使用刷新令牌来获取由认证服务器发布的新访问令牌。常见的用例包括在旧的令牌过期后获得新的访问令牌,或首次获得对新资源的访问权限。刷新令牌也可以过期,但寿命很长。 刷新令牌通常受到严格的存储要求,以确保它们不会泄漏。授权服务器也可以将它们列入黑名单。