相关疑难解决方法(0)

我正在构建一个移动应用程序,并使用JWT进行身份验证.

看起来最好的方法是将JWT访问令牌与刷新令牌配对,这样我就可以根据需要随时使访问令牌过期.

1. 刷新令牌是什么样的？它是随机字符串吗？这个字符串加密了吗？这是另一个JWT吗？
2. 刷新令牌将存储在用户模型的数据库中以供访问,对吗？看起来它应该在这种情况下加密
3. 我会在用户登录后发回刷新令牌,然后让客户端访问一个单独的路径来检索访问令牌吗？