【发布时间】:2022-01-07 11:24:14
【问题描述】:
我想用 Spring Boot 和 JWT 启动一个项目,我看到了一些将刷新令牌保存在数据库中的示例,所以我的问题是我必须将刷新令牌插入数据库,还是我有另一种最佳实践方式? 如果我必须插入数据库,为了删除过期的令牌,我应该在 Spring 中工作吗?
非常感谢
【问题讨论】:
标签: java spring spring-boot jwt
【发布时间】:2022-01-07 11:24:14
【问题描述】:
在刷新令牌流的情况下,安全地管理刷新令牌是客户端的责任。一旦访问令牌过期,客户端可以使用之前保存的刷新令牌来获取新的访问权限和可选的刷新令牌。当您询问在服务器端存储刷新令牌的方法时,我认为将其存储在数据存储中以供以后验证目的,同时发布新的访问令牌具有一个重要优势。通过这样做,您始终可以限制或撤销对服务的访问。在刷新令牌具有更长的验证时间并且服务器在刷新令牌流期间没有使用新的访问令牌发出新的刷新令牌的情况下,这将是有意义的。
【讨论】: