旋轉代幣
設定過期時間短並旋轉令牌。每隔幾個請求發出一個新的訪問令牌。使用重新整理令牌允許你的應用程式獲取新的訪問令牌,而無需重新進行身份驗證
重新整理和訪問令牌
-
訪問令牌 :授權訪問受保護資源。壽命有限。必須保密,由於壽命縮短,安全考慮不那麼嚴格。
-
重新整理令牌 :允許你的應用程式獲取新的訪問令牌,而無需重新進行身份驗證。壽命長。存放在安全的長期儲存中
用法建議:
-
Web 應用程式 :每次使用者以固定的時間間隔開啟應用程式時,都會在訪問令牌到期之前重新整理它。或者,在使用者執行操作時更新訪問令牌。如果使用者使用過期的訪問令牌,則該會話將被視為非活動狀態,並且需要新的訪問令牌。可以使用重新整理令牌或需要憑據來獲取此新令牌
-
移動/本機應用程式 :應用程式登入一次且僅一次。重新整理令牌不會過期,可以交換有效的 JWT。考慮更改密碼等特殊事件