JWT-保存刷新令牌是一个危险的cookie吗？

我正在尝试使用 GraphQL 使用 JWT 对用户进行身份验证。登录用户后，我会收到令牌作为 JSON 响应和存储刷新令牌的 httponly cookie。（服务器端使用的是销售核心） 从Saleor的文档和其他一些博客帖子中，我假设这个响应cookie现在应该存储在浏览器中，每当我需要刷新令牌时，cookie refreshToken将用于验证我的请求。然而，当我在开发工具中将选项卡切换到“

我正在构建一个移动应用程序，并且正在使用JWT进行身份验证。 最好的方法似乎是将JWT访问令牌与刷新令牌配对，这样我就可以根据需要频繁地使访问令牌过期。 刷新令牌是什么样子的？是随机字符串吗？那串加密了吗？是另一个JWT吗？ 刷新令牌将存储在用户模型的数据库中以便访问，对吗？在这种情况下似乎应该加密 在用户登录后，我是否会将刷新令牌发送回，然后让客户端访问单独的路由来检索访问令牌？

我正在AngularJS SPA中使用资源所有者密码凭证OAuth 2.0流。有几篇文章（这里，这里…）这个问题的答案解释了我们不应该将刷新令牌存储在（web）客户端（LocalStorage）上，而是将它们加密存储在HttpOnly Cookie中，并使用代理API实现对refreh令牌的解密，从而将其转发给安全令牌服务。 大多数文章都暗示我们应该使用一种常见的保护机制来关注CSRF。我想知道单

我正在构建一个使用JWT进行身份验证的应用程序。我开始做一些研究，但对于诸如刷新令牌和令牌存储之类的主题缺乏共识，我感到惊讶。 据我所知，JWT和OAuth是两个不同的协议，它们遵循不同的规范。 但我的问题是，对于一个没有通过第三方资源服务器如Google、Facebook等认证的应用程序，有一个刷新令牌真的有用吗？为什么不让JWT令牌像刷新令牌一样持续时间长。 另一方面，我可以看到，如本文所述，

我正在使用Tymon提供的包来处理从我的laravel后端到spa前端的Auth，我正在创建AuthController，这几乎是我从文档中获取的，只是稍微调整一下它以满足我的需要。从登录到注销以及令牌过期，一切正常。 问题是，我确实看到该控制器上有一个令牌刷新功能，如果我的猜测是正确的，那就是刷新客户端已经拥有的当前令牌。但是怎么做呢？如何处理前端上的刷新令牌？因为它是相当烦人的，每60分钟（默

这是我的身份验证流程： 用户登录后收到两个令牌（具有过期时间的访问令牌和没有过期时间的刷新令牌） 对于每个用户，刷新令牌存储在数据库中名为refreshTokens的json列中（这是一个数组） 在客户端，访问令牌和刷新令牌都存储在本地存储器上 当需要验证用户时，如果访问令牌过期，将使用刷新令牌创建一个新的访问令牌，并将其发送回用户并保持用户登录 当用户注销时，数据库中存储的刷新令牌（在refre