处理刷新令牌过期的策略

Question

我正在制作一个 React 应用程序并使用 JWT 进行身份验证。 用户登录后，我会发出一个访问令牌并设置一个名为 jwt 的仅 http cookie，其值为刷新令牌。根据我在网上阅读的一些文章，建议访问令牌的有效期较短，而刷新令牌的有效期较长，因此我将访问令牌的有效期设置为1天，刷新令牌的有效期为25天，（数字不是很相关的）。现在，一旦刷新令牌过期，用户就会自动注销。

现在我正在开发的应用程序是一个数据输入仪表板，我不希望用户在输入大量数据后突然注销，即使这种情况每月发生一次，所以我想知道管理这种情况的行业标准

Answer 1

有一种方法可以在没有登录密码对的情况下更新刷新令牌：

1. 当刷新令牌过期时，客户端必须获取新的令牌对（访问令牌、刷新令牌）。
2. 客户端发送其访问和刷新令牌并接收一对新令牌（就像使用用户名：密码进行身份验证时一样）。
3. 您应该跟踪刷新令牌的到期时间以防止其重复使用。

它与您的流程一样安全，因为当客户端注销时，它知道其他人已经使用过其刷新令牌一次。因此它必须使用用户名：密码进行身份验证并使最后的刷新令牌无效。

我发现一篇文章解释了这个流程