当访问令牌过期时,应重新颁发刷新令牌。
此时,我有点犹豫哪种方法更好。
对于访问令牌,它在每个请求的 HTTP 标头中传递。
说到刷新令牌 -
推荐哪一款?
jwt 规范建议(但不要求)在 Bearer 类型的授权标头中发送访问令牌。但没有提到刷新令牌。
刷新令牌是 Oauth2 概念。如果您阅读了 Rfc6749 规范,要刷新访问令牌,将使用 POST 请求中的表单参数发送刷新令牌
6。刷新访问令牌 ...
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
您可以使用oauth2的示例作为参考(在body中传递),尽管如果您不使用oauth2,您没有义务,所以请使用最适合您的项目的方法来发送。