我正在构建一个内置响应的前端,它可以访问我也在构建的多个微服务 API。对于身份验证,我构建了一个 jwt 登录系统,但想知道处理刷新令牌的过程是什么。
jwt 中的刷新令牌是包含用户信息,还是在其自己的令牌中使用不同的加密来提供额外保护?
如果它在自己的令牌中,如果 jwt 无效并且需要刷新,其他微服务应该如何响应 react 应用程序。有没有常用的http状态码?
我已经读到刷新令牌应该比您的 jwt 更安全,因为它可以用于发出 jwts 并且将具有更长的活动时间。是否有任何额外的加密过去的安全可以在服务器端或客户端完成,而 jwts 尚未完成?
什么时候应该用新的令牌刷新刷新令牌,并且时间戳会失效?
【问题讨论】:
标签: security jwt microservices
jwt 中的刷新令牌是否包含用户信息,或者它是否在其自己的令牌中,具有不同的加密以提供额外保护?
如果您询问的是 Oauth2 中定义的刷新令牌,则在用户身份验证成功后,授权服务器会返回一个刷新令牌。它只是一个随机字符串。使用刷新令牌,客户端可以获得访问令牌(您的 JWT)
如果它在自己的令牌中,如果 jwt 无效并且需要刷新,其他微服务应该如何响应 react 应用程序。有没有常用的http状态码?
他们必须拒绝该请求。使用 401- 未经授权
我已经读到刷新令牌应该比您的 jwt 更安全,因为它可以用于发出 jwts 并且将具有更长的活动时间。是否有任何额外的安全性可以在服务器端或客户端完成,而 jwts 尚未完成?
使用 https 获取刷新令牌。额外的加密不会增加安全级别,因为拥有令牌是身份验证的证明。但是你需要保证它的安全
你应该在什么时候用一个新的令牌和时间戳刷新刷新令牌?
取决于系统。 Oauth2 没有指定它。通常寿命很长,但在某些情况下,我看到建议在每次使用后更新它。
【讨论】: