jwt - 何时是使用 JWT 注销用户的正确时间,访问令牌到期的时间或刷新令牌的到期时间?
问题描述
- 我正在使用 JWT 对用户进行身份验证。我可以看到 JWT 生成的两种类型的令牌(向后端发出请求的访问令牌和刷新令牌)。所以,我的问题是什么时候可以注销用户?访问令牌过期时间还是刷新令牌过期时间?
- 根据用户的活动或非活动状态,使用刷新令牌端点获取新访问令牌的更好方法是什么?
解决方案
刷新令牌存在,以便您的服务可以继续代表他们使用用户的凭据,即使在访问令牌过期后也是如此。因此,如果您有刷新令牌,则无需在访问令牌过期时“注销用户”
刷新令牌包含获取新访问令牌或 ID 令牌所需的信息。
通常,用户在第一次获得对资源的访问权时,或者在之前授予他们的访问令牌过期后,需要一个新的访问令牌。
https://auth0.com/docs/tokens/refresh-token/current
如果您让访问令牌过期并且不使用刷新令牌来生成新的访问令牌,如果您想代表他们执行某些操作(使用他们的访问令牌访问资源),用户将不得不再次登录。当用户的刷新令牌过期时,用户将被“注销”。用户无需处于活动状态即可使用他们的刷新令牌
推荐阅读
- algorithm - 给定一组边界点的二维三角剖分
- ruby-on-rails - Action Mailer around_action 回调
- json - 如何在 Go 中使用未知键解组 JSON
- reactjs - 刀片视图未更新
- typescript - 在传递 this.result 进行测试时异步使用 Jasmine beforeEach
- angular - 我应该将我的管理页面包含到 Angular 项目中还是应该创建一个单独的项目?
- java - 是否有数据结构支持快速插入和中值计算?
- javascript - React.js Async await setState(),这是正确的方法吗?
- javascript - 使用 Javascript 将 URL 参数发送到 Python REST API
- excel - 如何使用 VBA 复制文本文件中列的内容