在理解刷新令牌、存储它们的位置和方式以及存储内容方面需要帮助

Posted

技术标签:

【中文标题】在理解刷新令牌、存储它们的位置和方式以及存储内容方面需要帮助【英文标题】:Need help in understanding refresh tokens, where and how to store them as well as what to store in them 【发布时间】:2022-01-21 09:46:42 【问题描述】:

正如标题所说,我无法理解刷新令牌。我该怎么做?与“jsonwebtoken”包中的访问令牌相同吗?或不同的包?如果是同一个包裹,我在里面存放什么?我存储在访问令牌中的东西是一样的吗?我应该将刷新令牌存储在存储访问令牌的同一位置吗?刷新令牌如何让 jwt 更安全?

我在互联网上找不到明确的答案,因为大多数在线教程更多地关注访问令牌或 jwt 的安全性,而没有正确解释刷新令牌。顺便说一句,我用的是快递。

【问题讨论】:

这些是否回答了您的问题:***.com/questions/38986005/… 和 auth0.com/blog/… 【参考方案1】:

是的,刷新令牌与访问令牌的工作方式相同,它们使用相同的技术。 刷新令牌是一种特殊的令牌,用于获取更新的访问令牌,刷新令牌永不过期。

-刷新令牌是一种与授权服务器通信的方式 -访问令牌是一种与资源服务器通信的方式

查看此图可以帮助您了解流程:

【讨论】:

如果他们使用相同的技术,我应该将什么作为有效负载放入刷新令牌中?我的访问令牌中的相同有效负载?如果我发送一个刷新令牌来获取一个新的访问令牌,我是否也要发送一个新的刷新令牌?

以上是关于在理解刷新令牌、存储它们的位置和方式以及存储内容方面需要帮助的主要内容,如果未能解决你的问题,请参考以下文章

存储位置 - OAuth 2.0 中的访问令牌和刷新令牌

SPA中令牌存储和刷新的选项

Node.js 护照 OAuth 2.0 身份验证:存储访问和刷新令牌的位置

在 Django REST 框架中使用 JWT 时,刷新令牌和访问令牌存储在哪里?

SPA 中的令牌存储和刷新选项

在基于浏览器的应用程序中,我在哪里存储 OAuth 刷新令牌