需要帮助理解刷新令牌，以及在哪里和如何存储它们以及需要存储什么内容在它们中。

Question

7 浏览2023年7月15日

匿名的 2023年7月16日

0 Comments

就像标题所说的那样，我对刷新令牌的理解有困难。我应该如何创建它们？和使用“jsonwebtoken”包创建访问令牌的方式一样吗？还是需要使用不同的包？如果使用相同的包，我应该存储什么内容在刷新令牌中？与存储在访问令牌中的内容相同吗？我应该将刷新令牌存储在与访问令牌相同的位置吗？刷新令牌如何使jwt更安全？\n由于大多数在线教程更专注于访问令牌或者只是简单解释了jwt的安全性，我在互联网上找不到清晰的答案来解释刷新令牌。顺便说一下，我正在使用express框架。

0

1 答案

匿名的 · Answer 1 · 2023-07-20T12:56:39+00:00

问题的出现的原因是用户想要了解关于refresh tokens的工作原理，包括在哪里和如何存储它们，以及在其中存储什么内容。解决方法是通过理解refresh tokens的作用以及与access tokens的关系来解答这些问题。

refresh tokens与access tokens的工作方式相同，它们使用相同的技术。refresh token是一种用于获取更新的access token的特殊类型的token，refresh token永不过期。refresh token用于与授权服务器进行通信，而access token用于与资源服务器进行通信。

为了理解刷新令牌的流程，可以查看以下图表： enter image description here

如果refresh tokens和access tokens使用相同的技术，那么在refresh token中的有效载荷中放置什么？是与access token中相同的有效载荷吗？如果发送一个refresh token以获取新的access token，是否也需要发送一个新的refresh token？

解答这些问题需要根据具体的实现情况来确定。一般来说，refresh token中的有效载荷可以包含一些与用户身份认证或授权相关的信息。例如，可以包含用户的ID、角色或其他权限信息等。发送refresh token以获取新的access token时，可以选择是否发送新的refresh token。一些实现中，每次刷新令牌时都会生成一个新的refresh token，而其他实现则可以选择重用之前的refresh token。这取决于具体的安全需求和实际情况。

在存储refresh tokens时，需要确保其安全性。一般来说，可以将refresh tokens存储在安全的数据库中，并使用适当的加密和访问控制措施来保护其机密性和完整性。此外，还可以考虑使用专门的token管理服务来管理和存储refresh tokens，以提高安全性和可管理性。

refresh tokens是一种用于获取更新的access token的特殊类型的token，它们使用与access tokens相同的技术。在refresh token中的有效载荷可以包含与用户身份认证或授权相关的信息。在存储refresh tokens时，需要确保其安全性，并可以考虑使用专门的token管理服务来提高安全性和可管理性。具体的实现方式取决于安全需求和实际情况。