简短回答

• refresh-token只是一个随机字符串。
• 所有与用户相关的信息（包括声明）都将存储在access-tokens中

说明

你应该保留这样的东西：

{
  _id: [refreshTokenId],
  value: 'fdb8fdbecf1d03ce5e6125c067733c0d51de209c',
  userId: [userId],
  expires: [some date],
  createdByIp: [some ip],
  createdAt: [some date],
  replacedBy: [anotherRefreshTokenId],
  revokedByIp: [some other ip],
  revokedBy: [some other date],
}

刷新令牌是身份验证服务器生成的随机字符串。它们在成功验证后生成（例如，如果用户的用户名和密码有效）。
它们的唯一目的是消除重复交换用户凭证的需要。它们与访问令牌不同。
access-token通常包含用户的信息（如姓名、声明）。这些通常是短暂的。JWT就是一个例子。
要获得JWT，应用程序必须验证凭据。
为了增加额外的安全性，并停止每15分钟打扰用户输入用户名和密码，我们只需创建a signature on the server-side并将其转发到应用程序。
下一次，每当应用程序需要创建JWT时，它只需将签名发送回服务器即可。此签名是您的刷新令牌。
刷新令牌也应该保存在某个地方。
因此，您可能会在数据库中创建一个表/集合，将refresh-token值与userIds和ip_address链接起来。

• 这是如何为用户创建会话管理面板。然后，用户可以查看我们已经注册了refreshtoken的所有设备（ip_addresses）。

refresh-token也可以以与access-token相同的方式生成。只要确保在两者中包含一个名为“token_type”的额外声明即可。

示例

{
    "token_type": "refresh",
    "iat": 1100313360,
    "exp": 1100814350,
    "context": {
        "user": {"name": "joe"},
        "type":["admin"]
    }
}

这种方法在更新access-token时优于随机字符串：

• 不命中上下文数据的数据库（如果有黑名单表，则无论如何都要命中）
• 通过验证refresh-token来注意可疑请求