jwt 的 refresh token怎么使用的才能起到安全作用?

refresh token 要和access tokn 一起 发送吗?
如果一起发送,那还能保证安全吗?

如果不一起发送,如果一个请求 access token 过期,需要客户端重新发送新的access token,那么用户这次请求的数据和已经发出的过期token请求的数据岂不是不能保存? 这样用户体验岂不是很差劲??

阅读 679
评论 1月17日提问
    2 个回答
    1. 初次生成的时候一起发送,安全性上你要这么理解, refresh token 只是用来获取 access token 的,但是你 access token 都已经一起泄漏了,还在意 refresh token 泄漏与否没有意义。
    2. refresh token 只会在登录的时候申请和发送,而且没有申请资源的权限,只有在 access token 过期的时候用来刷新 access token 的作用,所有暴露在外的频率很低。
    评论 赞赏 1月19日
      MongoDB 技术问答
      合作问答

      MongoDB 官方中文社区 和 SegmentFault 联合推出的 MongoDB 技术交流平台。 这是一个以社区力量为主,但...