jwt里面的refreshtoken是必须的吗
是否refreshtoken是必须的,如果只是单纯的登陆以及权限功能。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
是否refreshtoken是必须的,如果只是单纯的登陆以及权限功能。
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(2)
JWT 里只有以下几个部分是必须的:
header部分的type,且值只能是 jwt;header部分的alg;payload部分,有就行,甚至可以什么字段都不存;secret部分。除此之外,没什么是必须的。
但最佳实践一般是 access_token 设置时效短一些,额外提供 refresh_token 供客户端主动调取续约。这样做有两个好处:
一是 access_token 时效短,这样即使被人窃取在短时间内造成的损失也小;
二是因为 access_token 时效短带来的负面问题,就是总不能用户用着用着突然咔嚓被踢出去了让他重新登录吧?这个时候如果有 refresh_token 用户就可以无感知的自动续约了。
不是必须 但是需要考虑 刷新机制可以有效的防止 长期使用一个token 带来的安全隐患