是否应该在注销时删除刷新令牌？答案

【问题标题】：Should Refresh Tokens Be Deleted on Logout?是否应该在注销时删除刷新令牌？
【发布时间】：2018-12-28 00:02:53
【问题描述】：

我使用访问令牌和刷新令牌为我的 asp.net core 2 api 验证我的用户。

当用户物理单击注销按钮时，我会清除包含访问令牌和刷新令牌的本地存储。

但我想知道是否应该进行额外的调用并删除刷新令牌。

【问题讨论】：

是的，你应该这样做。因为注销后用户将登录一个新的访问令牌和一个新的刷新令牌。在这种情况下，您不应保留刷新令牌。因为无论您是否删除，下次登录时都会再次发出刷新令牌（如果您的授权允许）。
是的，基本上旧的将是一个孤儿刷新令牌，我想这可能会打开一个轻微的安全漏洞，因为理论上有人可以获得该令牌。虽然仍然可能有时间（比如 localstorage 很清楚）所以我可能仍然有孤儿令牌。我应该只为那些清理任务吗？

【解决方案1】：

是的，我想你应该这样做。关于清除旧的刷新令牌或尽可能多地保持新鲜，有很多不同的意见。实际上，主要目的是保留刷新令牌，以便您以后可以重新使用它们。但是，如果人们通过点击按钮注销，那么您可以清理那些刷新令牌。

但是，如果您想在不重新登录的情况下将它们保留在您的站点上更长时间，您可以使用刷新令牌重新颁发访问令牌。所以用户的授权令牌会更有效。但是如果用户想自己注销，那么你应该清理它并在他们下次登录时再次存储。

【讨论】：