阅读有关 JWT 的信息,我发现将刷新令牌与短期令牌一起包含在内是一种常见的做法。所以通常看起来你有一个短暂的令牌,持续时间很短,比如 15 分钟,还有一个刷新令牌,它在过期时更新这个令牌。据我了解,如果短期令牌已过期,应用程序必须检查以确保刷新令牌未被撤销(检查数据库)。如果没有,则发行一个新的短期令牌。我试图理解为什么不只拥有一个短暂的令牌。
假设 jwt 令牌包含使用该令牌的用户的用户名,并在 1 小时后过期。当它过期时,我的应用程序服务器不能验证这个令牌以确保它实际上已经过期并且它是由我发出的,如果是这样检查(在数据库内部)这个用户可以更新他们的令牌并更新它。这与拥有刷新令牌本质上是否不同,但它更简单一些,因为我用户只有 1 个令牌而不是 2 个?我看不到拥有刷新令牌的好处?