什么是刷新令牌授权程序

Question

我目前正在与Expressjs一起从事一个项目。对于用户授权，我使用JWT令牌，但直到现在只有访问令牌，因为我只是不理解它们与真实示例。因此，有人可以向我解释当某人登录他的帐户时，授权是什么。
FE：

1. 刷新和访问令牌会产生的
2. 令牌被存储在数据库等

。

Answer 1

1. 用户发送带有登录凭据服务器的邮政请求
2. ，如果成功，则返回JWT（通常在Httponly cookie中）。服务器不将JWT存储在数据库中。 JWT的重点是身份验证状态由其承载者存储。
3. 对于后续的对受保护端点的请求，客户需要附加JWT。服务器应检查JWT是否过期以及是否已更改。

您可能想考虑的扩展：

• 如何刷新JWTS：
  可以使用不同的令人耳目一新的模式。为了
  例如，您可以每次检查JWT的到期
  服务器收到请求。如果JWT即将到期，请发行新鲜
  JWT。
• 如何在客户端维护身份验证状态，而无需每次刷新页面时登录
• 如何真正记录用户：
  如果将到期设置为30分钟，并且用户在第15分钟标记处注销，那么JWT在技术上仍然可以使用该端点再访问受保护的端点15分钟。