jwt - 刷新令牌与访问令牌的 1:1 映射

refresh_token 交换没有限制

我使用了来自 google 和 aws 的 refresh_token，没有任何限制。我的意思是，我能够在小于到期时间（谷歌为 3600 秒）的间隔内多次使用 refresh_token 获得新的 access_token。

此外，根据第 10.4 节 spec，auth0，microsfot和这个refresh_token没有无尽的生命，相反可能会过期或失效。

因此，仅考虑到未过期的 access_token 的存在，将refresh_token 标记为无效或可疑，会剥夺您的有用功能。

无状态认证

如果您正在使用 JWT 并且您的安全功能位于另一个工件（授权服务器）中，而不是在您的微服务工件（资源服务器）中，我们可以说：

JSON Web Tokens (JWT) 被称为无状态，因为授权服务器不需要维护任何状态；令牌本身就是验证令牌持有者授权所需的全部内容。

简单来说，没有状态意味着在与主要实体或事件（在您的情况下为令牌）相关的服务器（在您的情况下为授权服务器）中不存在一种实时会话。更简单地说，你可以重启服务器，不会丢失任何东西，之前生成的令牌将继续工作

因此，如果您关心的是refresh_token 盗窃或 access_token 生成的一些滥用，您应该在您的授权服务器中实现一个逻辑。

在这种情况下，您的身份验证将保持无状态，因为该逻辑将位于表或其他机制中，并且最终功能保持不变：只需要令牌，并且授权服务器中的令牌没有附加的实时会话。

最后，最知名的授权服务器或 iams（auth0、okta、keycloak、google、aws、microsoft 等）继续提供无状态身份验证，而不管功能数量众多（access_token/refresh_token 生成、令牌撤销、用户管理等）以及在后台运行所需的复杂软件组件和策略。