Ich baue eine mobile App und verwende JWT zur Authentifizierung.JWT Refresh Token Fluss
Es scheint, als ob der JWT-Zugriffstoken mit einem Aktualisierungstoken gekoppelt werden muss, damit das Zugriffstoken beliebig oft ablaufen kann.
- Wie sieht ein Refresh-Token aus? Ist es eine zufällige Zeichenfolge? Ist diese Zeichenfolge verschlüsselt? Ist es ein anderes JWT?
- Das Aktualisierungstoken würde in der Datenbank auf dem Benutzermodell für den Zugriff gespeichert werden, richtig? Es scheint, als sollte es in diesem Fall verschlüsselt werden.
- Würde ich das Refresh-Token nach einer Benutzeranmeldung zurücksenden und dann den Client auf eine separate Route zugreifen lassen, um ein Zugriffstoken abzurufen?
Hinweis: Wenn Sie Aktualisierungstoken verwenden, sollten Sie Benutzern die Möglichkeit geben, sie auf der Benutzeroberfläche ungültig zu machen. Es wird auch empfohlen, sie automatisch zu verfallen, wenn sie beispielsweise für einen Monat nicht verwendet werden. –
@jtmarmon: Wie speichern Sie das Aktualisierungstoken auf der Clientseite? Ich meine das Android-Gerät mit Sicherheit? – j10