1. StackOverflow 文档
  2. jwt 教程
  3. 使 Json Web 令牌无效
  4. 旋转代币

旋转代币

Created: November-22, 2018

设置过期时间短并旋转令牌。每隔几个请求发出一个新的访问令牌。使用刷新令牌允许你的应用程序获取新的访问令牌,而无需重新进行身份验证

刷新和访问令牌

  • 访问令牌 :授权访问受保护资源。寿命有限。必须保密,由于寿命缩短,安全考虑不那么严格。

  • 刷新令牌 :允许你的应用程序获取新的访问令牌,而无需重新进行身份验证。寿命长。存放在安全的长期存储中

用法建议:

  • Web 应用程序 :每次用户以固定的时间间隔打开应用程序时,都会在访问令牌到期之前刷新它。或者,在用户执行操作时更新访问令牌。如果用户使用过期的访问令牌,则该会话将被视为非活动状态,并且需要新的访问令牌。可以使用刷新令牌或需要凭据来获取此新令牌

  • 移动/本机应用程序 :应用程序登录一次且仅一次。刷新令牌不会过期,可以交换有效的 JWT。考虑更改密码等特殊事件