正在调查如何与JWT合作,但对我来说并不明显:为什么要刷新访问令牌,而不同时使用访问令牌和刷新令牌,而仅使用刷新令牌?
在这种情况下,我们将能够:
您的问题有点不清楚,并假设有些事情可能不正确。访问令牌和刷新令牌都不必是JWT,并且JWT并非特定于OAuth2(OAuth2定义了访问令牌和刷新令牌,但未说明应如何实现)。
访问令牌和刷新令牌的受众也不同-访问令牌被发送到(可能是单独的)资源服务器(如果发行授权服务器是自包含的,则发行授权服务器甚至可能没有保留副本)。刷新令牌发送到授权服务器。
在数据库中定位任一类型的令牌(假设它们不是像JWT那样的自包含令牌,都应该不会成为问题,因为它们应该是构成数据库表理想主键的唯一令牌。
顺便欢迎您使用堆栈溢出:)。