JWTとリフレッシュ・トークン・フローの処理

Question

私も構築している複数のマイクロサービスapisにアクセスするリアクションに組み込まれたフロントエンドを構築しています。私はjwtログインシステムを構築しましたが、リフレッシュトークンを処理するプロセスが何か不思議でした。

1. は、ユーザ情報とJWT内部リフレッシュトークンですか、それは特別な保護のために異なる暗号化して、独自のトークンにありますか？

2. それはJWTは無効であり、リフレッシュする必要がある場合、他のマイクロサービスが反応するアプリにして対応すべきか、独自のトークンである場合。共通のhttpステータスコードが使用されていますか？

3. 私はリフレッシュトークンがあなたのJWT原因はjwtsを発行するために使用することができ、長いアクティブな時間を持つことになり、その後、より安全であることを読んだことがあります。以前は暗号化されていなかったサーバー側やクライアント側で暗号化が行われていますか？

4. いつ新しいトークンとタイムスタンプでリフレッシュトークンをリフレッシュして無効にする必要がありますか？

Answer 1

ユーザ情報とJWT内部リフレッシュトークンですか、それは特別な保護のために異なる暗号化して、独自のトークンにありますか？

Oauth2で定義されているようにリフレッシュトークンを要求している場合は、ユーザー認証に成功した後に認証サーバーによってリフレッシュトークンが返されます。それはちょうどランダムな文字列です。それはJWTは無効であり、リフレッシュする必要がある場合、他のマイクロサービスが反応するアプリにして対応すべきか、独自のトークンである場合にはリフレッシュトークンを使用すると、クライアントがアクセストークン（あなたのJWT）

を得ることができます。共通のhttpステータスコードが使用されていますか？

彼らは要求を拒否しなければなりません。 401を使用する - 無許可

私はリフレッシュトークンがより安全でなければならないことを読んだので、あなたのjwtを使用してjwtsを発行することができ、より長いアクティブ時間を持つことになります。以前は暗号化されていなかったサーバー側やクライアント側で暗号化が行われていますか？

HTTPSを使用リフレッシュトークンを取得します。トークンの存在が認証証明であるため、追加暗号化はセキュリティレベルを上げることはありません。しかし、あなたはそれをセキュアに保つ必要があります

リフレッシュトークンをいつ新しいトークンとタイムスタンプでリフレッシュすべきですか？

システムに依存します。 Oauth2はそれを指定しません。通常は長生きしていますが、それぞれの使用後に更新するよう勧告されている場合もあります。