我有API从刷新令牌获取新的访问令牌,但我想知道:获取新访问权限时,应撤消刷新令牌并生成新的刷新令牌。情况1:API/刷新令牌=〉{新访问令牌,新刷新令牌}(刷新令牌已撤销)案例2:API/刷新令牌=〉{访问令牌}(刷新令牌未撤销)什么是bestpractive,我用雀巢
o8x7eapl1#
如果您将撤销刷新令牌每次,用户刷新令牌,你在技术上将是一样的,只是去与1访问令牌.情况2是这样的。虽然你会给刷新令牌添加一些过期时间,然后用户必须重新登录并重新生成刷新令牌。刷新令牌的想法是在不牺牲用户体验的情况下以某种方式控制你的访问令牌(用户体验)。如果您每次都吊销刷新令牌,则用户将必须重新登录。但是,如果您保留刷新令牌,则用户只需在刷新令牌吊销时重新登录。在刷新令牌层上,您可以添加数据库检查以检查用户是否被禁止。这样,您就可以在访问令牌层上保存额外的外部调用。希望这可以回答您的问题
1条答案
按热度按时间o8x7eapl1#
如果您将撤销刷新令牌每次,用户刷新令牌,你在技术上将是一样的,只是去与1访问令牌.情况2是这样的。虽然你会给刷新令牌添加一些过期时间,然后用户必须重新登录并重新生成刷新令牌。刷新令牌的想法是在不牺牲用户体验的情况下以某种方式控制你的访问令牌(用户体验)。如果您每次都吊销刷新令牌,则用户将必须重新登录。但是,如果您保留刷新令牌,则用户只需在刷新令牌吊销时重新登录。在刷新令牌层上,您可以添加数据库检查以检查用户是否被禁止。这样,您就可以在访问令牌层上保存额外的外部调用。希望这可以回答您的问题