.net 刷新令牌请求是否应包括过期的jwt访问令牌?
我正在使用angular和asp.net内核实现web应用程序。我使用Jwt.Net库进行了自定义身份验证。我没有使用任何身份服务器提供程序。 对用户进行身份验证后,我将使用刷新令牌返回访问令牌: {访问令牌:“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…”, 刷新令牌:“GDSDSGFDS…” 当请求刷新令牌时,我应该发送过期的访问令牌并验证它,还是刷新令牌就足够了.net 刷新令牌请求是否应包括过期的jwt访问令牌?,.net,angular,token,core,.net,Angular,Token,Core,我正在使用angular和asp.net内核实现web应用程序。我使用Jwt.Net库进行了自定义身份验证。我没有使用任何身份服务器提供程序。 对用户进行身份验证后,我将使用刷新令牌返回访问令牌: {访问令牌:“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…”, 刷新令牌:“GDSDSGFDS…” 当请求刷新令牌时,我应该发送过期的访问令牌并验证它,还是刷新令牌就足够了 还有一件事,我读到了关于不在浏览器中存储刷新令牌的内容(角度方面)。是否有其他选项可以应用刷新令牌
还有一件事,我读到了关于不在浏览器中存储刷新令牌的内容(角度方面)。是否有其他选项可以应用刷新令牌场景?从客户端的角度来看,发送刷新令牌就足够了。但如果数据库遭到破坏,攻击者可以在数据库中查找刷新令牌 我读到关于不在浏览器中存储刷新令牌(角度侧)
我的建议是将刷新令牌存储在本地存储中,并有一个短的过期时间访问令牌。将其保存为cookie,然后浏览器处理它,并使用凭据标志angular将其放入请求中,这是最安全的方法。关于它有一个很好的帖子:要刷新它,它取决于您的需要。您可以保存在数据库中设置令牌,并在刷新时验证它是否相同,如果它有意义或没有意义,我会觉得更安全。