带有过期JWT刷新令牌的滑动窗口

}

我正在构建一个移动应用程序，并且正在使用JWT进行身份验证。 最好的方法似乎是将JWT访问令牌与刷新令牌配对，这样我就可以根据需要频繁地使访问令牌过期。 刷新令牌是什么样子的？是随机字符串吗？那串加密了吗？是另一个JWT吗？ 刷新令牌将存储在用户模型的数据库中以便访问，对吗？在这种情况下似乎应该加密 在用户登录后，我是否会将刷新令牌发送回，然后让客户端访问单独的路由来检索访问令牌？

我们决定使用OAuth2从Hazelcast共享会话切换到无状态JWT身份验证/授权，并发现了一个不适合我们下面描述的基础结构的问题。 因此，我们有多个独立的系统，可以通过直接链接访问，即mysite.com/scs1和mysite.com/scs2。 每个scs都有自己的UI和后端，但是“会话”（通过无状态JWT授权实现）必须在多个scs之间有效。 OAuth2授权服务器是一个专用服务器(UAA

在我最近的遭遇中，我试图实现在前端安全存储的JWT令牌。我以前的方法是在易受XSS攻击的sessionStorage中存储以及。现在，当过期时，我将调用endpoint来获取新的 之后，我们更改实现以防止XSS和CSRF。接下来，Local存储与Cookie 建议将访问令牌存储在内存中，并将刷新令牌存储在cookie中。所以从FE，我们无法访问cookie。（HTTPOnly cookie）和 现

我正在构建一个使用JWT进行身份验证的应用程序。我开始做一些研究，但对于诸如刷新令牌和令牌存储之类的主题缺乏共识，我感到惊讶。 据我所知，JWT和OAuth是两个不同的协议，它们遵循不同的规范。 但我的问题是，对于一个没有通过第三方资源服务器如Google、Facebook等认证的应用程序，有一个刷新令牌真的有用吗？为什么不让JWT令牌像刷新令牌一样持续时间长。 另一方面，我可以看到，如本文所述，

我正在使用Tymon提供的包来处理从我的laravel后端到spa前端的Auth，我正在创建AuthController，这几乎是我从文档中获取的，只是稍微调整一下它以满足我的需要。从登录到注销以及令牌过期，一切正常。 问题是，我确实看到该控制器上有一个令牌刷新功能，如果我的猜测是正确的，那就是刷新客户端已经拥有的当前令牌。但是怎么做呢？如何处理前端上的刷新令牌？因为它是相当烦人的，每60分钟（默