我们有一个不维护任何状态（甚至不是会话状态）的web服务，因此我们在服务器和客户端之间传输JWT令牌，其中包含客户端的加密状态 但是，我们还希望使用服务器的标准授权功能（如基本身份验证）来保护web服务端点 我所看到的关于JWT令牌的所有文档都表明它们应该通过授权头发送，这使得它与basic auth之类的东西不兼容。我知道没有什么可以阻止我们通过另一个头发送令牌，但是混合使用授权头和JWT令牌的标准授权技术是否有一些最佳实践？否则，是否有任何指导原则或实践表明，除了授权之外，您不应该在头中发送

我试图理解web标记的概念（具体来说是json web标记）。但是，我找不到关于如何在服务器上验证令牌的任何信息。 A=客户 B=服务器 流程： 1） A->B：客户端发送用户名和密码 2） B：服务器根据数据库记录检查它们，并检查它们是否匹配；首先，签名使用：base64UrlEncode（header）.base64Url（payload），#secret#，然后令牌使用：signature.payload.secret 3） A B:客户端发送请求，以访问标头中带有令牌的特定URL 5）

我试图理解JWT代币的用法，但我在理论部分迷失了方向 我对JWT代币的结构有一些疑问，为了让这个问题成为新用户的一种文档，提供一个逻辑顺序，我将在下面用粗体写，只要我列出一个JWT内容示例。 我还将在问题的结尾对它们进行总结 一个“经典”JWT令牌的组成如下： [标题][有效负载][签名] 详细内容： 标题 { "alg": "HS256", "typ": "JWT" } 其中包含以下字段： ALG=加密算法（使用默认的HS256可以） TYP=仅表示它是JWT 有效载荷 {

在JWT授权头中包含用户详细信息的最佳实践是什么？JWT应该包括用户的详细信息，如姓名、手机号码和电子邮件，还是应该向后端服务查询 在决定JWT有效负载中应包含哪些细节之前，应考虑哪些因素？这取决于后端的设计方式 如果您的用户数据只是一个电子邮件地址和密码，那么您显然只是将电子邮件地址存储在jwt中。但是，如果您的一条路线需要一些额外的用户数据（例如电话号码）来解决数据库中的某些依赖关系，您也可以将电话号码存储在令牌中，以避免服务器负载（因为您不再需要对用户的电话号码执行数据库查询） 如果您有更

我试图实现并利用JWT（jsonweb令牌）来保护我的系统。我得到了JWT的部分是防篡改的。我参加了很多关于如何安全地实现JWT的讨论，但我还是有点困惑 首先，我决定使用2个令牌（刷新令牌和访问令牌） 刷新令牌将具有更长的生存期，并用于维护日志会话和创建访问令牌。它是在用户首次登录时创建的，并在用户每次主动使用应用程序时刷新其到期日期，这样，如果用户正在主动使用我的应用程序，则无需重新登录 访问令牌将是短期的，我正在尝试为每种特定请求创建访问令牌。因此，第二个问题是 （1） 我应该创建单个访问令

我正在构建一个RESTAPI，我想再添加一个参数来验证令牌。默认情况下使用用户名和密码，我需要添加第三个参数，但我的代码不起作用。我使用了以下示例： 1.我在该文件夹中创建了文件夹“src\EventListener”和文件“JWTDecodedListener.php” 2.然后，我在该文件中添加了以下内容： <?php namespace App\EventListener; use Lexik\Bundle\JWTAuthenticationBundle\Event\JWTDec

我们正试图将我们的整体迁移到微服务架构。我们的微服务使用用户服务对用户进行身份验证。用户服务生成JWT令牌，该令牌包含用户拥有的所有角色 我们的开发人员创建了一个自定义MVC属性，用于提取令牌并授权用户。该属性已添加到我们所有微服务中所有方法的前面。属性用于授权用户的数据库信息已被缓存 我的问题是,；对所有方法和微服务使用一个属性，不会导致昂贵的授权过程吗？最好的方法是什么？您使用什么.net framework来提供微服务？您是否不能使用中间件？如果您不喜欢查询数据库以获得授权，则应考虑使用。

我在WSO2 AM中发布了一个API，现在，当我尝试通过curl测试API并传递令牌时，它显示了一个错误： 卷曲请求： curl -X GET "https://192.168.21.120:8243/ms-authorization/1.0.0/authorization/access-type/access-type" -H "accept: application/json" -H "Authorization: Bearer eyJ4N

我正在尝试在一个SvelteKit应用程序中实现JWT身份验证，但我在代码中遇到了问题，我应该在站点重新加载时刷新accesstoken。 根据我的发现，我应该将JWT存储在内存中，然后将刷新令牌存储为仅HTTP的cookie。当页面在新选项卡中重新加载或打开时，我需要调用后端以查看刷新令牌是否有效，如果有效，我将生成一个新JWT并将其返回给客户端 打这个电话的好主意是什么？我认为getSession-钩子是个不错的地方，但是我不能从那里使用fetch。只能通过set Cookie头设置HTTP

目前，我有一个用户可以通过的过程来获取JSON Web令牌（JWT）。然后，该JWT用于为对API的所有http请求设置X-Access-Token头。我很难弄明白怎么做 我相信可以添加到api_definition.yaml，这样会出现一个字段，用户可以在其中输入JWT，然后可以将其作为头添加到所有调用中 解决方案尝试 我在api_definition.yaml中添加了以下内容 securityDefinitions: UserSecurity: type: apiKey

我试图验证如何在验证JWT时使用漂亮的调试器，但我无法找到如何格式化公钥，使其在“调试器”中工作。答案是密钥的PEM格式——特别是 -----BEGIN CERTIFICATE----- 及 包括在内。可以使用Java的keytool以及openssl工具将其转换为PEM格式。转换的细节可以在别处找到 -----END CERTIFICATE-----

我们设计了一个工作流，使第三方系统（1）能够在不需要额外身份验证的情况下使用我们的（2），如下所示： 以下是描述： 第三方客户端应用程序（web）希望启动我们的应用程序。它向自己的后端请求令牌 第三方后端生成一个带有随机令牌值的JWT，该值与当前用户关联 第三方后端通过特定的API将JWT发送到我们的系统 注册后，JWT被发送回第三方客户端应用程序（web） 第三方应用程序通过JWT启动我们的客户端应用程序（web） 我们的应用程序使用注册的JWT调用后端API 问题如下： 如果此工作流有效

在使用JWT令牌时，我遇到了一个问题，即缺少401 JWT令牌。我试图使用postman检查api。您缺少JWT授权的前缀： 您的令牌应该以“JWT you_令牌”开头 希望这对你有用你好，史莱娅，欢迎你。你能提供多一点背景吗？ "Authorization": "JWT your_token"

我很难理解JWTs是如何与RSA加密结合使用的。这是我目前对RSA的理解： -客户端日志使用其凭据向服务器发出post请求，如果凭据有效，服务器将使用私钥签署JWT并将其发送给客户端 -客户端使用公钥验证来自服务器的JWT，然后存储此JWT以备将来的请求 现在，客户端是否只是将这个JWT附加到我对受保护路由发出的每个get/post请求的头上，以便验证用户？这不会容易受到中间人攻击，因为他们可以很容易地改变请求的内容，而服务器将无法知道它被修改了。我应该如何散列标头+有效负载以阻止实体像HMAC

将JWT作为电子邮件中的激活url有多安全 例如： 单击链接以激活您的帐户 报纸上说： url中JWT令牌的用例包括： 帐户验证-当你在某人注册你的网站后给他发电子邮件时 重新设置密码-确保重新设置密码的人可以访问属于该帐户的电子邮件 这两个都是一次性使用令牌（单击后过期）的良好候选 所以，是的。只需确保每封电子邮件只能激活一次（不要使用示例中可怕的“机密”密钥，如果签名可能是伪造的，则可以绕过验证）。使用无状态令牌（如JWT）是安全的，只要您用于签名的密钥和验证方式是安全的。但是在您的密码

我试图将JHipster用于使用微服务的项目，但最新的JHipster注册表不允许我的网关或微服务访问配置服务器并拒绝它们 我安装了JHipster流浪者DevBox，然后使用docker run-p 8761:8761 JHipster/JHipster注册表运行JHipster注册表。 然后，我生成了一个网关和两个微服务，它工作了 但是后来我想使用GitHub中的JHipster注册表，所以我克隆了它并运行了它（很明显，它同时被更新为2.0.0）。遗憾的是，网关和微服务无法访问此注册表。他们

我目前正在使用auth0 js library v8对用户进行auth0身份验证。该库使用RS256对JWT令牌进行强制签名。暂时，我想先对令牌进行解码，然后使用HS256/my current CLIENT SECRET对其重新编码，然后再在经过身份验证的响应中返回令牌。我可以使用Auth0规则吗？你知道怎么做吗？对Pawel在上面的评论做出反应：这不再是一个问题！使用GraphTool，您现在可以扩展您的模式，以处理您认为合适的身份验证（以及其他方式）。否，规则不能用于此操作。为什么不想使用

根据jwt.io上的 输出是三个由点分隔的Base64 URL字符串，可以在HTML和HTTP环境中轻松传递。” 我试图找出如何在响应的模式中描述这一点。我被绊倒了，因为在我看来，“由点分隔的三个字符串”本身就是一个字符串——对吗 内容部分是这样的吗 content: text/plain: schema: type: string ，我在components/securitySchemes部分看到了如何描述承载身份验证，但我认为这与全局/路径操作安全部分有关，而不是与

我正在管理openId jws，我不确定如何验证aud声明 具体来说，假设我有一个应用程序idmyapp.site.com，我收到一个aud，它的值是myapp.site.com*| ANY。我没有找到有关此格式的规范，但将aud规范读入我应该分解字符串myapp.site.com |*| ANY，使用“管道”作为分隔符，然后验证此数组是否包含特定的客户端id（即myapp.site.com） 我的问题是：*和任何是什么？这种格式有一些规范吗？我在哪里可以检索信息 提前感谢, Sim。这看起来像

我不熟悉Next.js，我正在努力使用jwt令牌的身份验证系统。我想知道用身份验证系统存储jwt令牌和路由的最佳/标准方法是什么。我一直在尝试不同的方法，从不同的教程/文章，但不太理解它。这是我试过的 当用户登录时，它将用户名/密码发送到分离的API服务器（例如，处理后端内容的新项目），服务器将使用访问令牌进行响应，然后在Next.js项目中，我使用接收到的令牌设置cookie。在Next.js项目中，受保护的路由将使用withAuthhoc进行包装，它将检查cookie中的令牌。这种方法的问题

嘿，我想创建一个应用程序，使用JWT与Kin marketplace集成。我需要创建ES256签名JWT并提供Kin生态系统的密钥 如何创建PEM格式的椭圆曲线密钥？如Kin marketplace server wiki:中所述，您可以使用openssl命令行工具生成PEM格式的密钥。 要创建256 ECDSA公钥和私钥对，请执行以下操作： openssl ecparam -name secp256k1 -genkey -noout -out kin-es256_0-priv.pem open

我正在尝试构建一个多租户ASP.NET Core 2.1 WebApi。 我想从jwt令牌中选择租户，而不是从url或端口。 因此，当用户请求令牌时，我将其租户id放入令牌中。 但当我试图解决Autofac多租户策略（ITenantIdentificationsStrategy）中的租户时，如下所示： public bool TryIdentifyTenant(out object tenantId) { _logger.LogInformation("*********

我使用KeyClope身份验证服务器和应用程序进行了以下设置： 用户在应用客户端登录，向服务器发送un/pw 应用服务器将un/pw发送到KeyClope服务器以获取令牌 KeyClope服务器将令牌发送回应用程序服务器 应用服务器输出包含敏感数据的网页 我想使用RS256对我的代币进行签名。当我尝试在客户端获取令牌时，它们使用RS256正确签名，但一旦我尝试在应用服务器上获取令牌，就会使用HS256。在这两种情况下，我如何设置KeyClope以使用RS256 我使用/auth/realms/{

我们正在使用自签名证书创建JwtSecurityToken。我们目前正在手动将证书上载到Azure应用程序服务，然后使用此代码查找它 X509Store certStore = new X509Store(StoreName.My, StoreLocation.CurrentUser); certStore.Open(OpenFlags.ReadOnly); X509Certificate2Collection certCollection = certStore.Certificates

我无法配置RabbitMQ以使用JWT进行客户端访问（例如，使用Paho访问MQTT） 我已经使用了这个推荐的插件 我正在使用密钥斗篷生成JWT访问令牌 样本： { "exp": 1617886910, "iat": 1617872510, "jti": "e720xxxxxxad0", "iss": "https://xxxxxxxxxxx",

a） 对于没有Angular界面的基本默认应用程序，我如何处理Jhipster用户管理和JWT身份验证？（例如，我将使用Postman进行测试。） b） swagger UI的url是什么？此产品配置文件中是否提供此功能 c） 我是否需要配置电子邮件以处理用户管理 （我在Jhipster网站上搜索了很多，但没有找到一本说明如何操作的手册。如果有人能指出这一点，我将是thakfull。） d） 详情： 我使用Jhipster创建了一个REST Web服务，没有客户端，使用： yo jhipster

我一直在研究网络代币，作为我正在构建的应用程序的一部分，我试图找出如何防止有人窃取代币并将其用于任何他们想要的地方。特别是当令牌通过明文传输时 另外，如何防止重播攻击和跨站点请求伪造？还有其他机制可以解决这些问题吗？Hmm，那么没有人真正理解JSON web令牌吗？这是我一直试图回答的问题！好奇你找到答案了吗？

绑定解析异常 生成[App\Services\AuthService，GenTux\Jwt\Jwt\JwtToken]时，目标[GenTux\Jwt\Drivers\JwtDriverInterface]不可实例化。通过在注册服务提供程序部分的bootstrap/App.php中添加以下行，解决了我的问题： $app->register(GenTux\Jwt\Support\LumenServiceProvider::class);

我只想澄清一下，JwtConsumer是线程安全的吗？ 我将把它和SpringREST控制器一起使用。在整个应用程序中为多个请求使用一个使用者可以吗？或者最好将其置于request skope下？是的，只要您使用的是最新版本，JwtConsumer是线程安全的，如果您使用的是任何其他验证程序或自定义程序，它们也是线程安全的 以前有一个，但已在中修复 也许它值得添加一些javadoc到它，顺便说一句，非常感谢）由于这个问题，我确实在javadoc中添加了一些关于线程安全的内容：

我需要HMAC算法的秘密，或者用于函数JWT.sign（）的RSA和ECDSA的PEM编码私钥 现在我从函数getSecret（）获得结果，并将其写入pfx文件，然后使用openssl获取私钥 const result = await client.getSecret(vaultUri, secretName, secretVersion); let writeStream = fs.createWriteStream("1.pfx"); writeStream.

有没有可能使用另一种令牌格式，而不是JWT和KeyClope？ KeyClope总是发送JWT令牌，但我显然不想要那种JWT格式。是否可以使用keyClope使用不透明令牌或其他格式 谢谢KeyClope还支持SAML-这就是您想要的吗？你想组成一个新的令牌格式吗？@stdunbar我不想使用SAML，因为JWT是格式化的，我们可以使用诸如获取用户信息之类的工具。我想防止使用不透明令牌和令牌内省来验证我的令牌。但现在我不知道该怎么做Keycloak@stdunbar关于令牌内省的更多信息关于令牌

我正在使用Identity Server 4对Dotnet core 2.0 WebAPI项目进行身份验证。该API由多个web和iOS/Android应用程序使用 今天，我们使用JWT作为访问令牌，并将标准JWT expire标志设置为登录时间+1小时，以确定JWT是否已过期。现在，我们想更改API中仍然需要用户登录才能接收JTW的一些端点，但是在这些端点上，JWT应该有效很多天 是否可以为一次登录处理多个JWT，或者是否应该使用JWT中的自定义属性来处理更安全的端点？访问令牌有两个优点，它们

我对jwt和签名验证非常陌生。我有一个非常基本的问题。 我正在从MSAL（AAD）生成令牌。 当我在jwt.io中使用令牌时，我可以看到它会自动填充密钥并将签名标记为已验证。jwt.io是如何知道这一点的 从生成令牌的角度来看，我没有明确提到在任何地方生成具有任何机密的令牌。您没有在此处显示令牌的详细信息（这是可以的），但我假设令牌的头中有一个kid，可能还有一个jku kid是，而jku是。 在该URL下（您可以将其粘贴到浏览器中查看），您可以找到一组JWKs（），基本上是一组特殊格式的公钥

我目前在Azure APIM中有一个API设置，具有多个操作。 我已经在所有操作部分实施了JWT承载身份验证策略 我现在需要做的是根据令牌中返回的作用域实现每个操作的授权部分。我已经看了这个例子，明白了该怎么做 但是，尝试在根所有操作上实现策略，然后在该策略中检查所请求的操作，并编写代码以匹配操作的正确作用域，这是好还是坏的做法 或者应该为每个操作复制/粘贴JWT策略，并且只有操作授权逻辑存在于其中 提前感谢。这样您就可以在全局、产品、API和细粒度操作级别应用策略 然后对这些策略进行评估，以形

在iOS和Android中，JWT属性iat包含的值比nbf中的值小的情况非常少见 因此，用户会收到错误消息“ID令牌已过期”。这也是有道理的，但问题是为什么iat的时间会比nbf的时间短 有没有办法防止iat在identityserver4中小于nbf 这永远无法通过webbrowser（nextuth.js）复制。对于iOS和Android中的身份验证，我们使用appauth iOS和appauth Android 在出现上述错误的情况下，我们得到如下标记： { "nbf&qu

我试图更好地理解JWT以及如何正确使用它 在常见的JWT用例中（如oauth中基于JWT的身份验证或JWT访问令牌），在客户端验证JWT令牌有意义吗？特别是，我这样做是为了更好地理解JWT签名和加密中涉及的公钥和私钥的要求。如果客户端永远不需要验证JWT签名，那么服务器就不需要使其公钥可用。如果这是真的，我甚至不需要一个完整的X.509证书：一个简单的公钥/私钥对或一个自签名证书就足够了，对吗 所有这些都归结为一个问题：处理JWT中使用的非对称密钥的正确方法是什么？我是否需要公钥基础设施，或者简

我们正在寻找保护AMQP连接的最佳方法。我们的AMQP客户端分布在世界各地，与AMQP服务器的连接需要安全。我们使用TLS实现oasis-open.org推荐的传输级安全。现在正在寻找AMQP客户端的身份验证机制 一种方法是使用相同的TLS证书对用户进行身份验证，第二种方法是使用新的著名的JWT作为AMQP的身份验证机制。每当客户端发布或订阅AMQP队列时，它都应该通过向服务器发送JWT来获得服务器的身份验证。JWT是在客户端通过安全TLS通道提供其凭据后发出的。这里的关键点是身份验证机制 用户

我们正在利用nimbus jose jwt中的第三方库进行基于JWKS端点的jwt验证 使用RemoteJWKSet，我们可以从远程端点检索JWK，检索到的JWK集将被缓存以最小化网络调用。 此外，它还能够在远程服务器上处理密钥旋转，因为每当密钥选择器尝试获取具有未知KID的密钥时，缓存都会更新 我的问题是，假设由于安全原因，从远程JWKS端点删除了一个特定的密钥集。但是，当我们得到一个使用移除的密钥签名的JWT时，它仍然有效，因为该密钥集在缓存中可用。RemoteJWKSet只会在它得到一个具

我正试图用JWT保护我的Quarkus API。提供了JWT（代码段：载体eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUI[…]） 以下端点是我测试过的两个端点： @Path（“/quick”） @请求范围 公共类资源{ @注入 jsonwebtokenjwt； @职位 @允许的角色（{“magister”}） @路径（“/save”） @使用（“应用程序/json”） @产生（“*/*”） @交易的 公共响应保存（@RequestBody quick-quick）{}

我对ASP.NET核心和声明中的JWT身份验证有一个问题，因为我不知道是否所有内容都正确 在ASP.NET中创建JWT令牌时，我添加了一些声明，其中一些可以自定义。当带有JWT令牌的请求从客户端发送到API时会发生什么。用户索赔是如何填写的？它是否使用从JWT读取的声明 我想创建一个自定义身份提供程序（不想使用ASP.NET提供的这个），使用我自己的用户数据表、角色表等。我不想在JWT令牌中存储实现策略所需的所有重要数据（令牌中存储的信息量以及安全问题）。是否可以只在JWT令牌中存储基本声明（如

后端服务器有一个端点，在ping时提供JSON响应，并受Apigee边缘代理的保护。目前，该端点没有安全性，我们希望为发出请求的所有客户端实现仅承载令牌身份验证。 所有向API发出请求的客户端都将在授权承载中发送JWT令牌，Apigee Edge将用于验证JWT令牌 我如何使用keydape生成这个JWT令牌 此外，Apigee需要一个JWT令牌来源的公钥（签署JWT令牌的服务器，在本例中，我相信这就是keydove）。 因此，我的第二个疑问是，当我使用keydove生成JWT令牌时，如何获取公

我已经基于最新的微软模板编写了一个Blazor WASM应用程序。在开发模式下，这一切都很好，但在发布到Azure应用程序服务后，我在调用API时随机得到了一个未经授权的401，查看返回的标题 WWW-Authenticate: Bearer error="invalid_token", error_description="The issuer 'https://*domain*.azurewebsites.net' is invalid" 这是客户端

我偶然发现了这个很棒的java库，它使用JSON Web加密。这个库很简单，只需要几行代码就可以进行JWE加密和解密，如下所示 EncryptedJWT jwt = new EncryptedJWT(header, builder.build()); RSAEncrypter encrypter = new RSAEncrypter((RSAPublicKey) keyProvider.getDefaultPublicKey()); try { jwt.encrypt(encry

我用于将用户登录到我的Web服务。作为验证从Google收到的令牌的一部分，Web服务检查令牌有效负载中的email\u verified=true 我的一些用户使用他们的非Gmail、非Google应用程序电子邮件地址。他们确实点击了谷歌在注册后发送给他们的电子邮件中的链接，以验证他们的电子邮件地址 当这些用户尝试登录到我的Web服务时，我会在令牌的有效负载中获得email\u verified=false 这意味着什么？我可以/应该在验证令牌时忽略这一点吗？有几种不同的方法可以在服务器端验证

我在另一个网络上有一个IdentityServer4实例、一个Angular SPA、一个Web服务器和一个api服务。JWT存储在客户端，用于对Web服务器调用进行身份验证，并传递给api服务进行身份验证，其安全含义是什么。SPA从不直接调用api服务，一切都是通过Web服务器代理的。是否还有其他首选机制？这是一个非常好的答案，可以回答关于存储在客户端JS应用程序某处的访问令牌的长期问题：

我最近在读关于JWT代币的文章，我有一点时间；我有一个想法，它在我的脑海里似乎是伟大的，但我怀疑它不是那么伟大，当它来到最后 我看到人们为了全局目的用单个密钥加密令牌。如果我为每个用户生成全新的密钥，然后连接两个字符串并使用输出对令牌进行加密，会怎么样？这将处理为不应该再访问的用户创建黑名单的需要，等等。我错过了什么？因为我肯定有人有和我类似的想法，而且由于某些原因，它没有被广泛使用。我在哪里丢失了？JWT使用颁发者（通常是服务器）的私钥进行签名（未加密）。数字签名可以识别签名者并保护内容不受更

我需要将APIM配置为支持任何预定义头中提供的JWT。为此，我需要按“或”条件组合两个策略，但我找不到关于相应语法的文档 我有两种类型的客户端应用程序。他们中的一些人按照Azure文档中的建议在“授权”令牌中发送JWT： Authorization: Bearer eyJhbGciOi.... 其他应用程序使用自定义标题名称： custom_token: eyJhbGciOi.... 我需要两者都支持。但是，我无法逐个指定策略，因为在如下情况下使用了“AND”条件： <validate

我的理解是，成功登录后，Cognito为我的服务提供了三个令牌：访问、ID和刷新。为了验证令牌，我正在使用jsonwebtoken（jwt.verify（accessToken，pem））。这一切都很好，如果刷新令牌过期，我可以验证令牌并获得一个新的访问令牌 但是，我的accessToken有效期为一小时。如果我想使用cognitoUser.globalSignOut（）撤销所有用户令牌，该令牌将通过使用JWT库的JWT验证60分钟，因为这一切都是在服务器端完成的 是否有方法将令牌发送到AWS

您可能知道，没有办法使json web令牌无效，并且有几种方法可以解决它。目前有两种可能的方法吸引着我 生成任意数量的令牌。如果用户注销，只需检查该令牌是否已过期。如果没有，则将该令牌存储到数据库表invalid_token，其中encoded_token列作为保存令牌字符串的主键，以及expires_atdatetime列。如果有人试图使用该令牌，但该令牌仍然有效，服务器将检查该令牌是否存在于数据库中，如果为true，Http响应仍然为401。最后是一个cron作业，它从数据库中删除随时间过

我最近经常使用JWT令牌，可以读取访问和ID令牌的属性和声明。我可以检测访问令牌何时过期，然后使用其关联的刷新令牌请求新令牌以保持会话连续性 我一直在使用JWT.io读取访问令牌和id令牌的有效负载，但这对刷新令牌不起作用，因为结构不同。是否可以读取刷新令牌中的有效负载数据？我想特别指出刷新令牌的到期日期。可能不是，如果它不是JWT，它是一种