当访问令牌过期时,应重新发放刷新令牌。
此时,我有点犹豫哪种方法更好。
对于访问令牌,它是通过每个请求的HTTP头传递的。
当涉及到刷新令牌时 -
1. 在HTTP头中传递刷新令牌。 2. 在HTTP POST请求体(负载)中传递刷新令牌。
哪种方法被推荐?
当涉及到刷新令牌时 -
1. 在HTTP头中传递刷新令牌。 2. 在HTTP POST请求体(负载)中传递刷新令牌。
哪种方法被推荐?
1个回答
51
JWT规范建议(但不要求)将访问令牌作为Bearer类型的授权标头发送。但是,关于刷新令牌没有提及。
刷新令牌是OAuth2概念。如果您阅读Rfc6749规范,要刷新访问令牌,则使用表单参数在POST请求中发送刷新令牌。
6. 刷新访问令牌 ...
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
您可以参考oauth2的示例(将其放入主体中),但如果您不使用oauth2,则没有义务,因此请使用最适合您项目的方法进行发送。
- pedrofb
1
rfc8725 - JWT 最佳当前实践 - undefined
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接