刷新令牌请求是否包括过期的jwt访问令牌?
刷新令牌请求是否包括过期的jwt访问令牌?
提问于 2018-10-15 09:39:04
我正在实现的web应用程序使用角和asp.net的核心。我使用Jwt .NET库进行了自定义身份验证。我不使用任何身份服务器提供程序。在对用户进行身份验证之后,我使用刷新令牌返回访问令牌:
{access_token:""eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9....", refresh_token:"GDSDSGFDS..."}当请求刷新令牌时,我应该发送过期的访问令牌并对其进行验证,还是刷新令牌就足够了?
我读过关于不将刷新令牌存储在浏览器中(角度方面)的文章。是否还有其他选项可以应用刷新令牌场景?
回答 1
Stack Overflow用户
回答已采纳
发布于 2018-10-15 09:58:47
从客户端的角度来看,我认为发送refresh_token就足够了。但是,如果数据库被破坏,攻击者可以在数据库中查找refresh_token。
我读过关于不将刷新令牌存储在浏览器中(角边)的文章。
我的建议是在本地存储中存储刷新令牌,并且有一个短的过期时间访问令牌。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/52813801
复制相关文章
相似问题
腾讯云开发者
