JSON Webトークン(JWT)アプローチを使用する認証システムを実装しようとしています。私はオンラインで複数のアプローチを取った読んでいるが、私はいつも使っているものとは少し違うようだ。JSON Webトークンの実装:アクセスとリフレッシュトークン
私が考えていたアプローチは次のとおりです。
サーバはリフレッシュトークンとアクセストークンを作成させ、ユーザーがログイン。 (リフレッシュトークンはIDと有効期限で構成され、アクセストークンはリフレッシュトークンIDを含む15分間有効なJWTです)
有効期限が切れるまでアクセストークンを使用していくつかのリクエストを成功させることができます
ユーザーは有効期限が切れたトークンで要求をしたら、サーバーをチェックしたリフレッシュトークンIDであれば、期限切れのアクセストークンは、それが一致した場合、リフレッシュトークンIDを変更
現在のリフレッシュトークンと一致する内に含まれ、新しいリフレッシュトークンIDを含む新しいアクセストークンを作成する
それが一致しない場合、私はこのアプローチは次のような利点を持っていると信じている認証
を尋ねる:
それはリフレッシュトークンに対処するためにクライアントを必要としません。直接
DBまたはキャッシュ要求は、リフレッシュトークンをチェックするために15分ごとに1回だけ実行する必要があります。
アプリケーションは、DBまたはキャッシュからリフレッシュトークンを削除することにより、セッションを終了できます。
サーバーは、リフレッシュトークンに一致するアクセストークンを1つだけ作成します。アクセストークンが更新されると、もう一度それを使用しても、別の更新操作は発生しません。
誰でもコメントできますか?これは良いアプローチですか?
リフレッシュトークンを使用して有効期限が切れる前に、私はあなたが疑問だと思う新しいアクセストークンを取得するために、より安全だと思う
は、あなたが何をすべきかをお勧めしますので、上のトピック – pedrofb