我正在开发一个 Android 应用程序,我对令牌和刷新令牌有点困惑。 基本上现在,用户使用手机号码和短信发送的验证码登录后,认证服务器会返回一个访问令牌,该令牌将用于访问所有 API。对于身份验证服务器,我使用了 Laravel 和 jwt-auth 库。 当访问令牌过期时,我将使用存储在 AccountManager 中的用户凭据询问一个新的。 这是实现此身份验证的正确方法吗?
或者我错过了刷新令牌,当它过期时我要求一个新的访问令牌?
提前致谢, 丹尼尔
【问题讨论】:
标签: android authentication refresh token jwt
我认为最好同时使用token 和refresh token,这样您就不必在access token 过期时发送您的凭据。此外,将用户凭据存储在客户端设备上并不安全,您应该将此信息存储在您的服务器上,并要求用户在需要时输入。
这里我是如何实现令牌/刷新令牌过程的:
1:您将credentials 发送到您的身份验证服务器(它会向您发送一个access token(我使用未存储在数据库中的JSON web token 类型)和一个refresh token(存储在数据库)。
2 : 当您向服务器发出请求时,您会检查 access token 是否已过期,如果已过期,请在参数中使用 refresh token 向您的身份验证服务器发出请求,以获得新的 @ 987654332@(取决于您的服务器配置,它可以给您一个新的access token,或者我更喜欢的一对新的access token和refresh token)。
3:如果refresh token 已过期,您可以向您的credentials 发出请求以获得一对新令牌。
【讨论】: