在应用程序中,我们在JWT有效负载中保留了一些平凡的布尔值。
[在某些UI操作上,布尔值在服务器上发生更改,应用需要获取新的令牌以反映此更改。为了获得新令牌,浏览器可以点击一个端点,该端点将检查并验证其当前令牌,然后返回一个新的访问令牌。为了清楚起见,用户必须具有有效的访问令牌才能从端点获取新的访问令牌。
这是安全问题还是可以解决?
如果您的应用程序首先发行了令牌,那么也可以续签该令牌。我认为这种情况下没有特定的安全问题。如果另一个机构颁发了令牌,那么您的应用程序将无法对其进行更新,因为它不应该访问数字签名的签名密钥。
将UI相关信息保留在安全令牌中是否是个好主意。这些值可能更好地存储在会话信息或客户端存储中。
我得到了什么-
如果可以给用户访问令牌,可以让端点刷新令牌吗?
上面的答案-
是的,这很好,正如McdD所解释的,如果同一个应用程序已经生成了访问令牌,那么同一个应用程序刷新它就完全可以了。
实际上,访问令牌的到期时间越短越好(根据JWT的工作原理,大多数应用程序将其保留在几分钟到几小时内),并在访问令牌到期后刷新令牌(这是以防止滥用访问令牌。