我在下面的思考过程中是正确的吗?
对于我正在构建的本机应用程序,我希望在springboot中实现一个后端。此后端将使用spring security进行保护。因为我将自己管理和开发所有东西(后端、本机应用程序和用于后端管理的web应用程序),所以用jwt保护所有东西就足够了,实现一个完整的oauth服务器就有点过头了。
目前,我已经在后端实现了jwt令牌生成。在用户登录时,后端返回一个json对象,其中包含一些用户详细信息以及访问令牌和刷新令牌。访问令牌的寿命很短,刷新令牌的寿命很长(比如说几个月的使用寿命,除非撤销,否则可能是无限期的)。
刷新令牌理论上也可以用作访问令牌,对吗?或者我应该在refresh token中设置一些值/数据,只将其标识为refresh token(因此不能用于访问资源,只能生成新的访问令牌)?
暂无答案!
目前还没有任何答案,快来回答吧!