使用JWT注销用户的合适时间是什么时候,访问令牌到期的时间还是刷新令牌到期的时间?
- 我使用JWT对用户进行身份验证。我可以看到JWT生成的两种令牌(向后端发出请求的访问令牌和刷新令牌)。所以,我的问题是,什么时候该注销用户?访问令牌到期的时间还是刷新令牌到期的日期
- 根据用户的活动或非活动状态,使用刷新令牌endpoint获取新访问令牌的更好方法是什么
共有1个答案
刷新令牌存在,以便即使在访问令牌过期后,服务也可以代表用户继续使用用户的凭据。因此,如果您有刷新令牌,则无需在其访问令牌过期时“注销html" target="_blank">用户”
刷新令牌包含获取新访问令牌或ID令牌所需的信息。
通常,用户在首次获得对资源的访问权限时,或者在授予他们的先前访问令牌过期后,需要新的访问令牌。
https://auth0.com/docs/tokens/refresh-token/current
如果您让访问令牌过期,并且不使用刷新令牌来生成新的访问令牌,则如果您想代表用户执行某些操作(使用他们的访问令牌访问资源),用户将必须再次登录。当用户的刷新令牌过期时,用户将“注销”。用户无需处于活动状态,您就可以使用他们的刷新令牌
-
当我从Google API获得一个< code>access_token时,它带有一个< code>expires_in值。根据文档,该值表示“访问令牌的剩余寿命”。 这个值的单位是多少?
-
任何人都可以告诉我通过 OAuth2 生成刷新令牌的到期时间。实际上,它通常返回 2 个参数访问令牌和刷新令牌。我们使用刷新令牌,以便在访问令牌过期时生成新的访问 toke。但是谷歌日历版本3,我正在使用刷新令牌来调用日历API。但是在这里我遇到了令牌过期的问题。所以任何人都可以建议我当令牌过期时我该怎么办。据我说,刷新令牌没有过期时间。请检查下面的代码以使用刷新令牌创建日历服务:-
-
我用ReactJS做单页网页登录。问题是如何以及在哪里保存令牌过期时间。我需要保存在sessionStore中,但当浏览器关闭时,所有的数据都将被删除。本地商店?但数据将永远。或者我可以在localStore中保存并在每个事件中添加函数,该函数检查localStore的过期时间,当事件触发成功时再次更新localStore?但代码看起来很可怕...性能问题呢?这大概可以接受吗?
-
我正在使用以下示例来玩Spring Cloud OAuth2实现: https://github.com/spring-cloud-samples/authserver https://github.com/spring-cloud-samples/sso 第一个是OAuth服务器,它在对用户进行身份验证时生成JWT令牌。第二个是正在被消耗的资源。根据OAuth规范,资源将用户的身份验证转发给au
-
在我最近的遭遇中,我试图实现在前端安全存储的JWT令牌。我以前的方法是在易受XSS攻击的sessionStorage中存储以及。现在,当过期时,我将调用endpoint来获取新的 之后,我们更改实现以防止XSS和CSRF。接下来,Local存储与Cookie 建议将访问令牌存储在内存中,并将刷新令牌存储在cookie中。所以从FE,我们无法访问cookie。(HTTPOnly cookie)和 现
-
我第一次获取FCM并将其保存到我的用户默认值。现在当用户注销时,我如何再次刷新FCM令牌?我搜索了文档和许多其他问题,但没有找到更好的解决方案。 提前谢谢。