gpt4 book ai didi

JWT:为什么我需要刷新 token ?

转载 作者:行者123 更新时间:2023-12-04 03:19:14 24 4
gpt4 key购买 nike

我最近阅读了很多关于 JSON 网络 token 的内容。我看到的一件大事是要根据上次访问设置超时,而不是硬超时,您需要使用单独的刷新 token 。我没有看到的一件事是为什么。

为什么需要单独的 token ?为什么不在每次收到初始 token 时都刷新最后一个访问值?不管怎样,初始访问时间仍然可以保留,并且可以建立更长的硬超时。

最佳答案

关于如何实现 JWT 有很多选择,其中大部分归结为您的要求以及您希望应用程序如何运行。

我的猜测是,每次重新发布 token 并在前端更新在大型应用程序中表现不佳。您必须完全替换 token ,因为最后访问时间戳是有效负载的一部分,因此,如果您更改有效负载的任何部分,有效负载的签名将不同。如果它不是 token 的一部分,它可以在前端访问,并且可以轻松更改以允许无限期访问。

刷新 token 通常与 OAuth2 相关联。设置一个授权服务器来发布 token 提供了一个很好的责任划分,并以有据可查的、基于标准的方式抽象出你的应用程序的相当大一部分。它还允许您撤销刷新 token ,从而可以撤销用户的访问权限(尽管不是立即)。最重要的是,它允许您对每个请求使用相同的访问 token ,而无需重新发出它。

关于JWT:为什么我需要刷新 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39438363/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com