我正在使用 Spring Boot 和 React 构建我的第一个 Web 应用程序。现在我主要关注安全方面。该应用程序使用 jwt 令牌。当用户登录时,后端会在授权标头中使用短期访问令牌以及存储在仅 http cookie 中的长期刷新令牌进行响应。然后,访问令牌存储在本地存储中并用于发出后续请求。 cookie(cookie 包含刷新令牌)路径设置为负责刷新访问令牌的端点,以便它不会与前端发出的每个请求一起发送。如果访问令牌过期,则后端会响应 401 状态,并且前端会向刷新端点发出请求。
考虑到它是一个展示应用程序,这种方法是否有效,或者我应该使用 OAuth2 和“前端后端”或“BFF”?
access/refresh token