通常,我们通过JWT(访问和刷新令牌)保护Mobile API的安全。但是我们只是面临这样的情况:即使JWT令牌过期,我们的应用程序也必须100%的时间可供用户使用。 (一些紧急情况)。用户/应用程序不能等待重新登录并获取新的JWT代码。
问题:长时间(...永远)确保API调用安全的最佳方法是什么,而无需从后端获取新令牌。当每个请求都使用移动应用程序的共享密钥进行加密时,我看到了几次变化,但是每个应用程序都具有当前日期时间附件...但是我不确定这是一个好的解决方案,至少会出现性能问题(加密操作时间) /解密请求)。
通常,我们通过JWT(访问和刷新令牌)保护Mobile API的安全。但是我们只是面临这样的情况:即使JWT令牌过期,我们的应用程序也必须100%的时间可供用户使用。 (有一些紧急情况...
您首先要做的是风险评估