需要帮助刷新令牌机制

Question

我有一个面向客户端的 React 本机应用程序。 我正在使用 JWT 进行身份验证，其中包含快速过期的访问令牌 (10m) 和持久的刷新令牌 (7d)。
我有两台服务器，一台用于身份验证，一台用于获取其他内容。
例如：server.com/auth、server.com/activities
我的问题是，如何在这里有一个好的刷新机制？
例如：如果用户在 2 天后登录并通过我的应用程序查询 API，我应该如何向他发送新的访问令牌（使用他的刷新令牌） - 请记住我的身份验证服务器位于单独的位置？
我在这里看到的明显解决方案是从/activities 联系/auth，获取新令牌并在响应的标题中发送新令牌，而在客户端继续检查标题中的新令牌并保存它们如果现在。
有比这更好的解决方案吗？这甚至是一个好的解决方案吗？

Answer 1

也许更好的选择是考虑使用 Backend For Frontend (a.k.a BFF) 模式来保护 SPA 应用程序。

见

• Backend For Frontend Authentication Pattern with Auth0 and ASP.NET Core
• The BFF Pattern (Backend for Frontend): An Introduction
• Securing SPAs using the BFF Pattern (once and for all)

Answer 2

我会做什么，据我所知，如果访问令牌过期，大多数人都会让您的 API (/activities) 以 403 响应。前端应捕获这些响应，然后根据您拥有的刷新令牌向授权服务器请求新的访问令牌。 AS 将使用新的访问令牌进行响应，前端现在可以使用该令牌发送到 API。通常这种交换会自动发生，前端最终会使用新的访问令牌重试调用 API。

如果刷新令牌恰好过期，那么授权服务器将响应 403，这是向前端应用发出的信号，它应该要求用户再次登录。