Tôi đang tạo ứng dụng dành cho thiết bị di động và đang sử dụng JWT để xác thực.Dòng mã thông báo làm mới JWT
Dường như cách tốt nhất để làm điều này là ghép nối mã thông báo truy cập JWT với mã thông báo làm mới để tôi có thể hết hạn mã thông báo truy cập thường xuyên như tôi muốn.
- Mã thông báo làm mới trông như thế nào? Nó là một chuỗi ngẫu nhiên? Chuỗi đó có được mã hóa không? Có một JWT khác không?
- Mã thông báo làm mới sẽ được lưu trữ trong cơ sở dữ liệu trên mẫu người dùng để truy cập, đúng không? Có vẻ như nó phải được mã hóa trong trường hợp này
- Tôi có gửi lại mã thông báo làm mới sau khi người dùng đăng nhập không và sau đó yêu cầu khách hàng truy cập một tuyến đường riêng để truy xuất mã thông báo truy cập?
Lưu ý, nếu bạn đang sử dụng mã thông báo làm mới, bạn nên cung cấp khả năng người dùng vô hiệu hóa chúng trên giao diện người dùng. Nó cũng được khuyến khích để tự động hết hạn nếu chúng không được sử dụng ví dụ cho một tháng. –
@jtmarmon: làm thế nào để bạn lưu trữ mã thông báo làm mới ở phía máy khách? Tôi có nghĩa là thiết bị Android có an toàn không? – j10