【发布时间】:2018-11-05 22:16:03
【问题描述】:
这不是一个编码问题,而是一个关于正确处理和处理刷新令牌的概念问题。
我有一个单页应用程序,它在登录时会发出一个 jwt 令牌。该令牌工作得很好。现在,我想将过期时间设置为较低的值,并使用刷新令牌来刷新不记名令牌。
问题是,刷新令牌中应该存储哪些声明?在发布新令牌之前应该执行哪些步骤来验证刷新令牌?
例如,现在我的刷新令牌是一个存储过期时间的 jwt,因此客户端知道刷新令牌何时过期,以及用户名声明,以便我知道刷新令牌与哪个用户相关联。
那么当收到刷新令牌时:
- 检查它是否未过期。
- 检查它是否未被撤销。
- 使用刷新令牌中的用户名来颁发新的短期持有者令牌。
这是正确的工作流程吗?我只是想确保我没有错过任何安全检查。
【问题讨论】: