временем жизни токена? или за это отвечает только сервер?
Время жизни токена прописано в токене. Соответственно, за ним следит только сервер, так как только у него есть секретный ключ для валидации токена.
Получается, клиент всегда передает серверу токен и рефреш токен, и если токен просрочен, возвращает новый?
Что такое рефреш?
Сервер возвращает два токена. Один - accessToken, другой - refreshToken (в случае, если он используется вообще). refreshToken обычно сохраняется где-то на сервере, в бд. При обращении к серверу с клиента отправляешь accessToken. Сервер проверяет время жизни токена, уровень доступа (если нужно), валидирует хеш-сумму по секретному ключу. Когда accessToken истекает, делаешь с клиента запрос на получение новой пары - отправляешь refreshToken в запросе. Сервер ищет токен в бд, проверяет его, затем удаляет старый рефреш и выдает новую пару. Во всей этой схеме рефреш - необязателен, можно и без него, если нет в нем необходимости. В случае, если секретный ключ меняется - выданные токены перестают работать. С рефрешом удобно то, что можно контролировать этот процесс для каждой сессии отдельно, удалил рефреш из бд - через несколько минут пользователь уже будет должен авторизовываться заново.
https://habr.com/ru/company/Voximplant/blog/323160/
Сервер следит за временем жизни токена и при его истечении отдает статус например 419. Клиент следит только за статусами.
Так клиент не знает когда истечет accessToken, как ему отправлять запрос на получение новой пары? перед каждым запросом на сервер отправлять запрос на обновление?
Обсуждают сегодня