我正在我的一个节点应用程序中实现 JWT。我想知道是否有任何明确的格式/结构应生成刷新令牌?
通过明确的格式,我的意思是刷新令牌是否包含任何像 JWT 这样的声明?
更新
我们假设刷新令牌为:
fdb8fdbecf1d03ce5e6125c067733c0d51de209c
(取自Auth0)。现在,我应该从中理解什么?
refresh-token
只是一个随机字符串。access-tokens
你应该保留这样的东西:
{
_id: [refreshTokenId],
value: 'fdb8fdbecf1d03ce5e6125c067733c0d51de209c',
userId: [userId],
expires: [some date],
createdByIp: [some ip],
createdAt: [some date],
replacedBy: [anotherRefreshTokenId],
revokedByIp: [some other ip],
revokedBy: [some other date],
}
刷新令牌是身份验证服务器生成的随机字符串。它们是在身份验证成功后生成的(例如,如果用户的用户名和密码有效)。
它们的唯一目的是消除重复交换用户凭据的需要。它们与访问令牌不同。
access-token
通常包含有关用户的信息(例如姓名、声明)。这些通常是短暂的。 JWT 就是一个例子。
要获取 JWT,应用程序必须验证凭据。
为了增加额外的安全性,并不再每隔 15 分钟打扰用户输入用户名和密码,我们只需创建
a signature on the server-side
并将其转发到应用程序。
下次,每当应用程序需要创建 JWT 时,它只需将签名发送回服务器即可。该签名是您的刷新令牌。
刷新令牌也应该保存在某个地方。
因此,您可能会在数据库中创建一个表/集合,将
refresh-token
值与 userIds
和 ip_address
链接起来。
这就是您为用户创建会话管理面板的方法。然后,用户可以查看我们已注册刷新令牌的所有设备(ip_addresses)。
A
refresh-token
也可以通过与access-token
相同的方式生成。只需确保在两者中都包含一个名为“token_type”的额外声明即可。
{
"token_type": "refresh",
"iat": 1100313360,
"exp": 1100814350,
"context": {
"user": {"name": "joe"},
"type":["admin"]
}
}
这种方法在更新时相对于随机字符串的优点
access-token
:
refresh-token