为啥在每个请求上刷新 JUST 令牌是个坏主意?
Posted
技术标签:
【中文标题】为啥在每个请求上刷新 JUST 令牌是个坏主意?【英文标题】:Why is it a bad idea to refresh JUST token on every request?为什么在每个请求上刷新 JUST 令牌是个坏主意? 【发布时间】:2018-01-28 09:49:38 【问题描述】:所以我正在使用 Laravel API 构建一个 React 应用程序,并且 JWT 令牌每小时都会过期(正如它的本意那样)。
现在,我在这里阅读了几种不同的刷新令牌的方法,所有这些听起来都非常令人费解(将过期存储在状态中,每当 API 返回 401 时执行第二个请求等),但似乎每个人都认为在每个请求上刷新令牌是一个可怕的想法。
这是为什么呢?
【问题讨论】:
【参考方案1】:我不熟悉 React,但就 JWT 而言,我能想到的主要原因是您必须在每个响应中包含新令牌。这会强制您的所有端点充当授权端点,以及它们的主要目的是什么。我认为最好将您的授权端点与其他 API 端点分开,并在需要刷新时向其发出请求。
【讨论】:
以上是关于为啥在每个请求上刷新 JUST 令牌是个坏主意?的主要内容,如果未能解决你的问题,请参考以下文章
为啥在高流量网站中使用 Session 存储状态是个坏主意?