我正在开发一个Android应用程序,我对令牌和刷新令牌有点困惑.
基本上现在,在用户使用移动号码和SMS发送的代码登录后,认证服务器返回将用于访问所有api的访问令牌.对于身份验证服务器,我使用了Laravel和jwt-auth库.
当访问令牌过期时,我将使用存储在AccountManager中的用户凭证来询问新的令牌.
这是实现此身份验证的正确方法吗？

或者我错过了刷新令牌,当过期时我会问一个新的访问令牌？

提前致谢,
丹尼尔

解决方法:

我认为最好同时使用令牌和刷新令牌,因此当访问令牌过期时,您不必总是发送凭据.此外,在用户设备上存储用户凭据并不安全,您应该在服务器上存储此信息,并要求用户在需要时键入它.

这是我如何实现令牌/刷新令牌过程：

1：您将凭据发送到身份验证服务器(它将向您发回访问令牌(我使用未存储在数据库中的JSON Web令牌类型)和刷新令牌(存储在数据库中).

2：当您向服务器发出请求时,检查访问令牌是否已过期,如果是,则使用参数中的刷新令牌向您的身份验证服务器发出请求,以获得新的访问令牌(取决于您的服务器配置可以返回一个新的访问令牌,或者一对新的访问令牌和我更喜欢的刷新令牌.

3：如果刷新令牌已过期,则使用您的凭据发出请求以获得一对新令牌.