带刷新令牌的Java Spring JWT工作流问题
我有一些关于使用Java Spring的API JWT刷新令牌工作流的问题。
到目前为止我有这个:
- 用户登录到/users/login-如果成功,将返回具有2个头的响应,并进行授权和刷新。其中包含2个令牌--一个短30分钟到期,另一个长4小时到期。
- 然后他可以使用授权标头访问所有其他endpoint。
- 如果在访问某个endpoint时,他的令牌过期,他将收到一个未经授权的错误)。
- 并且必须使用给定的刷新令牌执行/token/refresh请求。
-
null
共有1个答案
区分这两种代币的最佳方法是什么。
刷新令牌根本不必是JWT。我更喜欢简单地生成一个随机的字母数字字符串。刷新令牌不携带任何附加信息。它需要查询数据库以确认刷新令牌的有效性。您可以通过它们在请求中出现的位置来区分它们。授权令牌(访问令牌)应该出现在您选择的标头中。
步骤3中的错误应该是什么(而不是未经授权的),以便将其与没有有效令牌的请求区分开来
/token/refreshendpoint应该是带头的POST、带参数的POST还是带头的GET。
通常,GETendpoint应该是只读的,并且不改变任何资源。POST和PUTendpoint用于突变。在本文中,我将使用带有参数和专用URL的POST(例如/token/refresh)
-
我已经阅读了JWT和访问令牌和刷新令牌。我知道您必须在很短的时间(分钟)内设置访问令牌过期,并在过期时使用刷新令牌获取新的访问令牌。 我不清楚三件事: 谁检查访问令牌是否过期?客户端是否通过发送过期的访问令牌和刷新来检查并请求新的访问代码? 谁检查刷新令牌是否过期?(显然刷新令牌也需要过期,尽管需要更长的时间才能过期)。 在我看来,如果刷新令牌过期,则必须提示用户重新登录。在某些情况下(移动应用)
-
这是我的身份验证流程: 用户登录后收到两个令牌(具有过期时间的访问令牌和没有过期时间的刷新令牌) 对于每个用户,刷新令牌存储在数据库中名为refreshTokens的json列中(这是一个数组) 在客户端,访问令牌和刷新令牌都存储在本地存储器上 当需要验证用户时,如果访问令牌过期,将使用刷新令牌创建一个新的访问令牌,并将其发送回用户并保持用户登录 当用户注销时,数据库中存储的刷新令牌(在refre
-
我正在构建一个移动应用程序,并且正在使用JWT进行身份验证。 最好的方法似乎是将JWT访问令牌与刷新令牌配对,这样我就可以根据需要频繁地使访问令牌过期。 刷新令牌是什么样子的?是随机字符串吗?那串加密了吗?是另一个JWT吗? 刷新令牌将存储在用户模型的数据库中以便访问,对吗?在这种情况下似乎应该加密 在用户登录后,我是否会将刷新令牌发送回,然后让客户端访问单独的路由来检索访问令牌?
-
我不熟悉,它代表。我混淆了它的两个术语:访问令牌和刷新令牌。 用户注册/登录站点后,我创建和。 将刷新标记保存在数据库或cookie中。 15分钟后,用户标记访问令牌过期。 如果用户空闲2小时,我将从cookie或DB中删除刷新令牌,否则我将使用刷新令牌续订访问令牌。 有什么优化的方法可以达到这个目的吗?
-
本文向大家介绍oauth 刷新访问令牌,包括了oauth 刷新访问令牌的使用技巧和注意事项,需要的朋友参考一下 示例 资源
-
若授权服务器给客户端颁发了刷新令牌,客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发起刷新请求: grant_type 必需的。值必须设置为“refresh_token”。 refresh_token 必需的。颁发给客户端的刷新令牌。 scope 可选的。如3.3节所述的访问请求的范