我在这里是因为我对谷歌上的内容不满意。
通常我正在构建SPA,所以对我来说过程很简单:成功登录后生成JWT并在客户端发出的每个请求中使用它。
有人告诉我应该刷新令牌并为我发出的每个请求发送一个新令牌。我这样做有意义吗?我的意思是,如果有人试图黑我,嗅探请求将给黑客提供与我收到的相同的令牌,那么问题在哪里?
我的意思是,如果我在另一个请求完成之前启动请求会怎样?理论上,我会两次发送相同的令牌,其中一个请求将被拒绝。
如何正确处理这种情况?我确信这不仅仅是我自己能想到的这些。
我在这里是因为我对谷歌上的内容不满意。
通常我正在构建SPA,所以对我来说过程很简单:成功登录后生成JWT并在客户端发出的每个请求中使用它。
有人告诉我应该刷新令牌并为我发出的每个请求发送一个新令牌。我这样做有意义吗?我的意思是,如果有人试图黑我,嗅探请求将给黑客提供与我收到的相同的令牌,那么问题在哪里?
我的意思是,如果我在另一个请求完成之前启动请求会怎样?理论上,我会两次发送相同的令牌,其中一个请求将被拒绝。
如何正确处理这种情况?我确信这不仅仅是我自己能想到的这些。