我正在构建一个使用React构建的前端,访问多个微服务API,我也在构建这些API。对于认证,我已经构建了一个JWT登录系统,但我想知道如何处理刷新令牌的过程。
1. 刷新令牌是否与用户信息一起包含在JWT中,还是使用不同的加密方式单独存储?
2. 如果它是单独存储的,当JWT无效并需要刷新时,其他微服务应该向React应用程序响应什么?是否有常用的HTTP状态码?
3. 我已经阅读到,刷新令牌应该比您的JWT更安全,因为它可以用来发出JWT,并且有效时间更长。除了加密之外,服务器端或客户端是否可以进行额外的安全性操作以提高安全性?
4. 什么时候应该使用新令牌和时间戳刷新刷新令牌,使其失效?
1. 刷新令牌是否与用户信息一起包含在JWT中,还是使用不同的加密方式单独存储?
2. 如果它是单独存储的,当JWT无效并需要刷新时,其他微服务应该向React应用程序响应什么?是否有常用的HTTP状态码?
3. 我已经阅读到,刷新令牌应该比您的JWT更安全,因为它可以用来发出JWT,并且有效时间更长。除了加密之外,服务器端或客户端是否可以进行额外的安全性操作以提高安全性?
4. 什么时候应该使用新令牌和时间戳刷新刷新令牌,使其失效?