Security 处理JWT和刷新令牌流

我正在构建一个内置react的前端，它可以访问我正在构建的多个微服务api。对于auth，我已经构建了一个jwt登录系统，但不知道处理刷新令牌的过程是什么

刷新令牌是在jwt中包含用户信息，还是在其自己的令牌中使用不同的加密进行额外保护

如果jwt在其自己的令牌中，那么如果jwt无效且需要刷新，其他微服务应如何响应react应用程序。是否使用了通用的http状态代码

我已经读到刷新令牌应该比jwt更安全，因为它可以用来发布jwt，并且将有更长的活动时间。在服务器端或客户端是否有额外的安全加密可以完成，而jwts还没有完成

什么时候应该用新令牌和时间戳刷新刷新令牌，使其变为无效

刷新令牌是在jwt中包含用户信息，还是在其自己的令牌中使用不同的加密进行额外保护

如果您询问Oauth2中定义的刷新令牌，则在成功进行用户身份验证后，授权服务器将返回一个刷新令牌。它只是一个随机字符串。使用刷新令牌，客户端可以获得访问令牌（您的JWT）

如果jwt在其自己的令牌中，那么如果jwt无效且需要刷新，其他微服务应如何响应react应用程序。是否使用了通用的http状态代码

他们必须拒绝这个请求。使用401-未经授权

我已经读到刷新令牌应该比jwt更安全，因为它可以用来发布jwt，并且将有更长的活动时间。在服务器端或客户端是否有额外的安全加密可以完成，而jwts还没有完成

使用https获取刷新令牌。传统加密不会提高安全级别，因为拥有令牌是身份验证的证明。但是你需要保证它的安全

什么时候应该用新令牌和时间戳刷新刷新令牌，使其变为无效

这取决于系统。Oauth2没有指定它。通常使用寿命很长，但在某些情况下，我看到了每次使用后更新的建议