我正在构建移动设备和网络应用。这两个应用程序都将与节点服务器通信。我正在使用JWT进行身份验证。
当前,我有以下代码来生成访问令牌:
const token = jwt.sign({ user: body }, "top_secret");
我对刷新令牌和访问令牌感到非常困惑:
您如何使刷新令牌无效?我见过的示例使用数据库存储刷新令牌。当您要使访问令牌无效时,将删除刷新令牌。如果将刷新令牌存储在用户模型上的数据库中以进行访问,对吗?在这种情况下,似乎应该对其进行加密
当用户登录我的应用程序时,我是否同时发送访问令牌和刷新令牌?我在某处(不记得在哪里)读到,发送访问令牌和刷新令牌不是一个好习惯。
我正在构建移动设备和网络应用。这两个应用程序都将与节点服务器通信。我正在使用JWT进行身份验证。当前,我有以下代码来生成访问令牌:const token = jwt ....
[请注意,在典型的OAuth2方案中,发布服务器的令牌(授权服务器)和使用访问令牌的API服务器(资源服务器)是不同的。另请参阅:Oauth2 roles。