Symfony2 FosUser:CSRF令牌问题

我不熟悉，它代表。我混淆了它的两个术语：访问令牌和刷新令牌。 用户注册/登录站点后，我创建和。 将刷新标记保存在数据库或cookie中。 15分钟后，用户标记访问令牌过期。 如果用户空闲2小时，我将从cookie或DB中删除刷新令牌，否则我将使用刷新令牌续订访问令牌。 有什么优化的方法可以达到这个目的吗？

我使用postMan，输入请求地址http://localhost:8011/umrah/oauth/token？client_id=client_2&username=1234567&password=123456&grant_type=password&client_secret=123456，点击send按钮，出现错误，在内存中工作正常，当我想使用Jdbc令牌存储时，想法控制台错误：找不到令

我已经阅读了JWT和访问令牌和刷新令牌。我知道您必须在很短的时间（分钟）内设置访问令牌过期，并在过期时使用刷新令牌获取新的访问令牌。 我不清楚三件事： 谁检查访问令牌是否过期？客户端是否通过发送过期的访问令牌和刷新来检查并请求新的访问代码？ 谁检查刷新令牌是否过期？（显然刷新令牌也需要过期，尽管需要更长的时间才能过期）。 在我看来，如果刷新令牌过期，则必须提示用户重新登录。在某些情况下（移动应用）

我对防伪令牌有一个问题：（我创建了自己的用户类，该类工作正常，但现在每当我转到/Account/Register页面时，我都会收到一个错误。错误是： http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier或http://schemas.microsoft.com/accesscontrolservice/2010/0

访问令牌凭据（以及任何机密的访问令牌属性）在传输和储存时必须保持机密性，并只与授权服务器、访问令牌生效的资源服务器和访问令牌被颁发的客户端共享。访问令牌凭据必须只能使用带有RFC2818定义的服务器身份验证的1.6节所述的TLS 传输。 当使用隐式授权许可类型时，访问令牌在URI片段中传输，这可能泄露访问令牌给未授权的一方。 授权服务器必须确保访问令牌不能被生成、修改或被未授权一方猜测而产生有效的

访问令牌是用于访问受保护资源的凭据。访问令牌是一个代表向客户端颁发的授权的字符串。该字符串通常对于客户端是不透明的。令牌代表了访问权限的由资源所有者许可并由资源服务器和授权服务器实施的具体范围和期限。 令牌可以表示一个用于检索授权信息的标识符或者可以以可验证的方式自包含授权信息（即令牌字符串由数据和签名组成）。额外的身份验证凭据——在本规范范围以外——可以被要求以便客户端使用令牌。 访问令牌提供了