Sto costruendo un'app mobile e sto utilizzando JWT per l'autenticazione.JWT refresh token flow
Sembra che il modo migliore per farlo è quello di accoppiare il token di accesso JWT con un token di aggiornamento in modo da poter scadere il token di accesso tutte le volte che voglio.
- Che aspetto ha un token di aggiornamento? È una stringa casuale? Quella stringa è crittografata? È un altro JWT?
- Il token di aggiornamento verrebbe archiviato nel database sul modello utente per l'accesso, corretto? Sembra che dovrebbe essere crittografato in questo caso
- Avrei inviato il token di aggiornamento dopo un accesso utente e poi il client ha accesso a una route separata per recuperare un token di accesso?
Nota: se si utilizzano token di aggiornamento è necessario fornire agli utenti la possibilità di invalidarli nell'interfaccia utente. Si consiglia inoltre di scadere automaticamente se non vengono utilizzati ad esempio per un mese. –
@jtmarmon: come si memorizza il token di aggiornamento sul lato client? Intendo il dispositivo Android con sicurezza? – j10