我们上节讲了关于JWT Token,这节我们讲解一下refresh token,什么是refresh token,为什么需要refresh token?上节我们知道token是用来表示身份的唯一标识,在这里我们把它称为 access token , 出于安全性我们一般将 access token 过期时间设置的时间比较短同时不让用户过于频繁的登录,这时我们就用到refresh token, refresh token是用来重新获取用户 access token 的一个秘钥, refresh token设置的过期时间会比较长,它的职责只是用来生成一个新的a ccess token
我们在上一节项目上增加一个refresh-token的方法:
我们在生成token的同时为用户生成一个refresh-token,refresh-token用一个64位的随机数来表示,并赋值给当前用户
同时我们也修改一下login的登录方法,当用户登录的时候生成token的同时也生成一个refresh-token
access token(访问令牌):
用途:access token 用于访问受保护的资源,比如 API、服务器端数据等
生命周期:通常较短,access token 过期后需要重新获取,以继续访问受保护的资源
refresh token(刷新令牌):
用途:refresh token 用于获取新的 access token,当 access token 过期时,客户端可以使用 refresh token 来获取新的 access token ,而无需用户重新进行身份验证
生命周期:通常较长,可以是几天到几个月,甚至更长, refresh token 在有效期内可以用来获取多个 access token,但是一旦 refresh token 过期或被撤销,客户端就需要用户重新进行身份验证来获取新的 refresh token
access token 用于实际的资源访问,而 refresh token 用于在 access token 过期时获取新的 access token ,从而实现持续的访问, refresh token 的生命周期通常比 access token 长
源代码地址:
https://github.com/bingbing-gui/Asp.Net-Core-Skill/tree/master/Fundamentals/AspNetCore.API.Auth/AspNetCore.API.JWT.Authentication
