我应该在哪里保存JWT刷新令牌？

Question

我使用了Nodejs Express和EJS和PassProt JWT。

我通过httponly属性保存了JWT令牌。

在渲染页面之前，router.get（'/'，isauth.verifyToken（），admincontroller.checkuser）; ，检查令牌是否有效。

如果令牌无效，请将其重定向到登录页面。

exports.verifyToken = ()=>{
    return passport.authenticate('cookie', { session: false, failureRedirect: '/users/login' });   
}

现在，我不仅要使用访问令牌，还要使用刷新令牌。

我应该在哪里保存刷新令牌？

我认为，在cookie中保存访问令牌和刷新令牌不是答案。

将刷新令牌存储在本地存储中是正确的吗？

如果本地存储是正确的，那么刷新令牌的逻辑应该在哪里？

Answer 1

如果您的后端可以进行身份​​验证，发出令牌然后消耗它们，那么就无需发出单独的刷新令牌。您可以依靠访问令牌。实际上，在这样的设置中，您正在使用HTTP会话，因此您甚至不需要JWT。如果您有一个单独的授权服务来发出代币，那么最好将刷新令牌存储在您的后端中 - 在服务中，最终将拨打授权服务以获取新令牌。

无论如何，不​​要将刷新令牌存储在本地存储中。将令牌保留在那里是不安全的，因为它们容易受到XSS攻击的影响。