0

我的客户是一家拥有我的网络服务器凭据的公司,我希望他让他的最终用户使用我为他提供的 JWT 调用我的 API。这是流程:

  1. 最终用户向客户的网络服务器请求一个网页
  2. 如果最终用户没有我的网络服务器的 JWT,客户的服务器使用他的凭据调用我的 API,我给他一个有效期为 1 小时的新 JWT
  3. 客户将 JWT 发送回其最终用户并将其存储在 localstorage / cookies 中
  4. 最终用户可以使用他的 JWT 调用我的 API
  5. 当最终用户从我的 API 过期后获得状态代码 401 时,他再次将客户的网络服务器调用到特定端点以获取我的 API 过期时间为 1 小时的新 JWT,然后他可以再次调用我的 API。

我想听听您对此流程的意见,并了解它是否合理。有没有办法改善这个流程?也许最终用户应该寻找他的令牌,如果它过期,以避免调用我的 API 并跳过该部分以缩短往返行程?

4

1 回答 1

0

这里要遵循的概念是刷新令牌。

在 OAuth 流程中,您可以使用刷新令牌,该令牌可用于在现有身份验证令牌过期时获取新令牌。

有关如何使用它的更多详细信息,您可以在此处参考 OAuth 文章

于 2020-10-25T13:31:55.750 回答