Android刷新令牌

Question

我正在開發一個Android應用程序，我對令牌和刷新令牌有點困惑。 基本上現在，在用戶使用移動號碼和SMS發送的代碼登錄后，認證服務器返回將用於訪問所有api的訪問令牌。 對於身份驗證服務器，我使用了Laravel和jwt-auth庫。 當訪問令牌過期時，我將使用存儲在AccountManager中的用戶憑證來詢問新的令牌。 這是實現此身份驗證的正確方法嗎？

或者我錯過了刷新令牌，當過期時我會問一個新的訪問令牌？

在此先感謝Daniele

Answer 1

我認為最好同時使用token和refresh token ，因此當access token過期時，您不必總是發送憑據。 此外，在用戶設備上存儲用戶憑據並不安全，您應該在服務器上存儲此信息，並要求用戶在需要時鍵入它。

這是我如何實現令牌/刷新令牌過程：

1：您將credentials發送到身份驗證服務器（它將向您發回access token （我使用未存儲在數據庫中的JSON web token類型）和refresh token （存儲在數據庫中）。

2：當您向服務器發出請求時，檢查access token是否已過期，如果是，則使用參數中的refresh token向您的身份驗證服務器發出請求，以獲得新的access token （取決於您的服務器配置可以返回一個新的access token ，或者一對新的access token和我更喜歡的refresh token 。

3：如果refresh token已過期，則使用您的credentials發出請求以獲得一對新令牌。