[英]Android refresh token
我正在開發一個Android應用程序,我對令牌和刷新令牌有點困惑。 基本上現在,在用戶使用移動號碼和SMS發送的代碼登錄后,認證服務器返回將用於訪問所有api的訪問令牌。 對於身份驗證服務器,我使用了Laravel和jwt-auth庫。 當訪問令牌過期時,我將使用存儲在AccountManager中的用戶憑證來詢問新的令牌。 這是實現此身份驗證的正確方法嗎?
或者我錯過了刷新令牌,當過期時我會問一個新的訪問令牌?
在此先感謝Daniele
我認為最好同時使用token
和refresh token
,因此當access token
過期時,您不必總是發送憑據。 此外,在用戶設備上存儲用戶憑據並不安全,您應該在服務器上存儲此信息,並要求用戶在需要時鍵入它。
這是我如何實現令牌/刷新令牌過程:
1:您將credentials
發送到身份驗證服務器(它將向您發回access token
(我使用未存儲在數據庫中的JSON web token
類型)和refresh token
(存儲在數據庫中)。
2:當您向服務器發出請求時,檢查access token
是否已過期,如果是,則使用參數中的refresh token
向您的身份驗證服務器發出請求,以獲得新的access token
(取決於您的服務器配置可以返回一個新的access token
,或者一對新的access token
和我更喜歡的refresh token
。
3:如果refresh token
已過期,則使用您的credentials
發出請求以獲得一對新令牌。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.