我想为我的REST API实现JWT身份验证。
假设这种情况,
客户端是否需要了解刷新令牌?当服务器尝试使用过期的访问令牌访问路由时,服务器可以验证它并使用与数据库中与userID关联的刷新令牌,并为客户端生成一个新的访问令牌。
offline_access
端点的请求所指定的作用域列表中指定/token
来接收刷新令牌。/token
端点发出请求,例如指定grant_type=refresh_token
和refresh_token=XYZ
。请参阅下面的示例请求:curl -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "grant_type=refresh_token&client_id=4d7481b6-9de3-4e20-9fc1-f907cda9d993&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob&refresh_token=QWERTY123&scope=openid%20offline_access" https://idp.example.com/token