[解決済み】JWTリフレッシュトークンフロー
2022-04-05 03:09:41
質問
モバイルアプリを作成中で、認証にJWTを使用しています。
JWTアクセストークンとリフレッシュトークンをペアにして、アクセストークンを好きな頻度で失効させるのが一番いいようです。
- リフレッシュトークンとはどのようなものですか?ランダムな文字列ですか?その文字列は暗号化されていますか?それは別のJWTですか?
- リフレッシュトークンは、アクセス用のユーザーモデル上のデータベースに保存されますよね?この場合、暗号化されている必要があるように思います。
- ユーザーログイン後にリフレッシュトークンを送り返し、クライアントが別のルートにアクセスしてアクセストークンを取得するようにすればいいでしょうか?
解決方法は?
JWTやリフレッシュトークンの話なので、OAuth2.0の話だとすると......。
-
アクセストークンと同様に、原則的にリフレッシュトークンは、あなたが説明したすべてのオプションを含む任意のものにすることができます。JWTは、認証サーバがステートレスにしたい場合や、それを提示するクライアントにある種の「所有の証明」のセマンティクスを強制したい場合に使用することができます。リフレッシュ・トークンは、リソース・サーバに提示されず、最初にそれを発行した認可サーバにのみ提示されるという点でアクセストークンと異なるので、JWT-as-access-tokensの自己完結型の検証最適化はリフレッシュ・トークンには当てはまらないことに注意してください。
-
データベースが他の関係者/サーバー/アプリケーション/ユーザーからアクセス可能であれば、イエスです(ただし、暗号化キーをどこにどのように保存するかによって、マイルレートが変わるかもしれません......)。
-
認可サーバーは、クライアントが取得するために使用するグラントに応じて、アクセストークンとリフレッシュトークンの両方を同時に発行することができます。
関連
-
[解決済み] Fiddlerのルート証明書を永久に信頼するのは「安全」なのか?
-
[解決済み] 後で平文を取り出すためのユーザーパスワードの保管について、倫理的にどのように取り組むべきでしょうか?
-
[解決済み] bcryptはどうして塩を内蔵しているのですか?
-
[解決済み] JWT(JSONウェブトークン)の有効期限を自動的に延長する機能
-
[解決済み] JSONウェブトークンの無効化
-
[解決済み] 認証とセッション管理に関するSPAのベストプラクティス
-
[解決済み】cerファイル、pvkファイル、pfxファイルの違いは何ですか?
-
[解決済み】OAuth 2は、Security Tokenを使用したリプレイ攻撃などからどのように保護するのでしょうか?
-
[解決済み】JWTが盗まれたらどうする?
-
[解決済み] クロスドメイン認証のためのJWTを用いたシングルサインオンフロー
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] XMLHttpRequestがファイルを読み込めません。クロスオリジンリクエストはHTTPのみサポートされています
-
[解決済み] 新しいAPIキーを生成するための最適な方法は何ですか?
-
[解決済み] Fiddlerのルート証明書を永久に信頼するのは「安全」なのか?
-
[解決済み] JWTは解読できても、安全性はどうなのか?
-
[解決済み】すべてのHTTPリクエストをHTTPSにリダイレクトする方法
-
[解決済み】塩の文字列はどこに保存していますか?
-
[解決済み】レトポリンとはどのようなもので、どのように機能するのですか?
-
[解決済み】cerファイル、pvkファイル、pfxファイルの違いは何ですか?
-
[解決済み】Windowsでコードサイニング用の自己署名証明書を作成する方法を教えてください。
-
[解決済み】ペイメントプロセッサー - 自分のウェブサイトでクレジットカードを利用したい場合、何を知っておく必要がありますか?[終了しました]