我了解JWT、访问令牌和刷新令牌。我知道你必须设置访问令牌的过期时间很短(几分钟),并使用刷新令牌在访问令牌过期时获取新的访问令牌。
有三件事不太清楚:
- 谁检查访问令牌是否过期?是客户端检查并在发送过期的访问令牌和刷新令牌一起请求新的访问代码吗?
- 谁检查刷新令牌是否过期?(显然,刷新令牌也需要过期,尽管它需要更长时间才能过期。)
- 从我的角度来看,如果刷新令牌已过期,用户必须被提示重新登录。这是某些情况下需要避免的(移动应用程序)。如何避免这种情况?
我了解JWT、访问令牌和刷新令牌。我知道你必须设置访问令牌的过期时间很短(几分钟),并使用刷新令牌在访问令牌过期时获取新的访问令牌。
有三件事不太清楚:
通常每次调用API都需要进行一些错误处理。
我进一步调查了一下,这是我找到的: