Javascript 刷新令牌的用途是什么?
刷新令牌的用途是什么?据我所知,当访问令牌过期时使用刷新令牌,发送刷新令牌以生成另一个刷新令牌和另一个访问令牌。这是因为,如果访问令牌由于持续时间较短而被劫持,恶意用户实际上什么也做不了,但如果具有较长持续时间的刷新令牌被劫持,则用户将无法再受到保护。那么刷新令牌应该存储在哪里,这样就没有人可以劫持它了?或者应该在后端采取什么安全措施?将刷新令牌作为Javascript 刷新令牌的用途是什么?,javascript,node.js,security,jwt,jwt-auth,Javascript,Node.js,Security,Jwt,Jwt Auth,刷新令牌的用途是什么?据我所知,当访问令牌过期时使用刷新令牌,发送刷新令牌以生成另一个刷新令牌和另一个访问令牌。这是因为,如果访问令牌由于持续时间较短而被劫持,恶意用户实际上什么也做不了,但如果具有较长持续时间的刷新令牌被劫持,则用户将无法再受到保护。那么刷新令牌应该存储在哪里,这样就没有人可以劫持它了?或者应该在后端采取什么安全措施?将刷新令牌作为httpOnlycookie标记的safe和sameSource发送。它将自动存储在cookie中,并随每个http请求一起发送到服务器。 http
httpOnly
cookie标记的safe
和sameSource
发送。它将自动存储在cookie中,并随每个http请求一起发送到服务器。
httpOnly
cookies无法通过JavaScript访问,因此如果您使用https协议,它不会轻易被劫持。这是否回答了您的问题?