Je crée une application mobile et j'utilise JWT pour l'authentification.
Il semble que la meilleure façon de procéder consiste à associer le jeton d'accès JWT à un jeton d'actualisation afin que je puisse expirer le jeton d'accès aussi souvent que je le souhaite.
- À quoi ressemble un jeton d'actualisation? Est-ce une chaîne aléatoire? Cette chaîne est-elle chiffrée? Est-ce un autre JWT?
- Le jeton d'actualisation serait stocké dans la base de données sur le modèle utilisateur pour l'accès, n'est-ce pas? Il semble qu'il devrait être crypté dans ce cas
- Vais-je renvoyer le jeton d'actualisation après une connexion utilisateur, puis demander au client d'accéder à un itinéraire distinct pour récupérer un jeton d'accès?