我有一个asp.net核心web api应用程序,使用jwt令牌进行身份验证 . 我的应用程序生成一个令牌作为访问令牌,另一个json Web令牌作为刷新令牌,在一周到期的访问令牌后过期 . 刷新令牌只包含声称它的值是用户ID的声明 . 当访问令牌过期时,用户通过刷新令牌请求新的访问令牌 . 我的问题是这种方式是正确和安全的吗?我读过一些关于在asp.net核心中使用jwt刷新令牌的文章,并在所有文章中说刷新令牌必须是一个guid并保存在服务器中 .
我想从设计角度来看还不清楚刷新令牌应该存储在数据库中,我也试图找到相同的答案,我问了与此主题相关的问题,并得到了存储在DB中并且不存储在DB中的两种情况的答案 .
Using AspNetUserTokens table to store refresh token in ASP.NET Core Web Api
我希望它有所帮助
1 回答
我想从设计角度来看还不清楚刷新令牌应该存储在数据库中,我也试图找到相同的答案,我问了与此主题相关的问题,并得到了存储在DB中并且不存储在DB中的两种情况的答案 .
Using AspNetUserTokens table to store refresh token in ASP.NET Core Web Api
我希望它有所帮助