.net 刷新令牌请求是否应包括过期的jwt访问令牌？

我正在使用angular和asp.net内核实现web应用程序。我使用Jwt.Net库进行了自定义身份验证。我没有使用任何身份服务器提供程序。 对用户进行身份验证后，我将使用刷新令牌返回访问令牌：

{访问令牌：“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…”， 刷新令牌：“GDSDSGFDS…”

当请求刷新令牌时，我应该发送过期的访问令牌并验证它，还是刷新令牌就足够了

---

还有一件事，我读到了关于不在浏览器中存储刷新令牌的内容（角度方面）。是否有其他选项可以应用刷新令牌场景？

从客户端的角度来看，发送刷新令牌就足够了。但如果数据库遭到破坏，攻击者可以在数据库中查找刷新令牌

我读到关于不在浏览器中存储刷新令牌（角度侧）

---

我的建议是将刷新令牌存储在本地存储中，并有一个短的过期时间访问令牌。

将其保存为cookie，然后浏览器处理它，并使用凭据标志angular将其放入请求中，这是最安全的方法。关于它有一个很好的帖子：要刷新它，它取决于您的需要。您可以保存在数据库中设置令牌，并在刷新时验证它是否相同，如果它有意义或没有意义，我会觉得更安全。