[英]Should refresh token request includes the expired jwt access token?
我正在使用 angular 和 asp.net 核心實現 Web 應用程序。 我使用 Jwt .Net 庫進行了自定義身份驗證。 我沒有使用任何身份服務器提供商。 在對用戶進行身份驗證后,我使用刷新令牌返回訪問令牌:
{access_token:""eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9....", refresh_token:"GDSDSGFDS..."}
當請求刷新令牌時,我應該發送過期的訪問令牌並驗證它還是刷新令牌就足夠了?
還有一件事,我讀到了關於不在瀏覽器中存儲刷新令牌(有角度的一面)。 還有其他選項可以應用刷新令牌方案嗎?
從客戶端的角度來看,我會說發送 refresh_token 就足夠了。 但是,萬一數據庫遭到破壞,攻擊者可以在數據庫中查找 refresh_token。
我讀到了不在瀏覽器中存儲刷新令牌(有角的一面)
我的建議是將刷新令牌存儲在本地存儲中,並有一個短到期時間訪問令牌。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.