一尘不染

我是否应该明确发送刷新令牌以获取新的访问令牌-JWT

spring-boot

在我的应用程序中,当用户成功登录时,我将返回访问令牌和刷新令牌。访问和刷新令牌的到期时间已分别设置为10分钟和40分钟。(我应该对这些值进行更多研究。这只是为了测试)

我使用了以下文章中描述的实现

http://www.svlada.com/jwt-token-authentication-with-spring-
boot/

假设我在登录10分钟后向服务器调用了一个请求。由于访问令牌已过期,因此我收到401错误响应。

但是,作为初学者,我很难理解是否需要显式发送刷新令牌才能获得新的访问令牌。如果我应该这样做,该怎么做?我应该发送刷新令牌吗?标头?

否则,当我的请求由于访问令牌过期而被服务器拒绝时,刷新令牌本身是否应该自动向服务器发送请求以获得新的访问令牌?

我发现很难从网上发现的资源中了解刷新令牌行为的本质。请就这些问题向我澄清。


阅读 343

收藏
2020-05-30

共1个答案

一尘不染

是的,刷新令牌用于获取新的访问令牌。

第一次请求访问令牌时,通常是通过将令牌请求发送到令牌端点开始,以防Resource Owner Password Credentials Grant在请求标头中带有用户凭据的情况下(例如,

grant_type=password&username=user1&passowrd=very_secret

访问令牌过期后,您必须请求一个新的访问令牌。这次,刷新令牌仍然有效,您不再需要用户凭据,而是发送

grant_type=refresh_token&refresh_token=<your refresh token>

代替。这样,您无需将用户凭据存储在客户端,也不需要通过登录过程再次打扰用户。如您所知,到期时间,您还可以实现一种机制,以在access_token到期之前刷新令牌。

此外,您可以阅读此内容以获取有关该主题的更多信息:https :
//auth0.com/learn/refresh-tokens/

在以下教程中,还提供了如何在邮递员中使用刷新令牌的屏幕截图:http :
//bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-
asp-net-web -api-2-owin /(向下滚动到第6步)通常,我建议阅读Taiseer Joudeh的教程,特别是。适用于C#,ASP.NET和Angular程序员。

2020-05-30