是否应在注销时删除刷新令牌?
Should Refresh Tokens Be Deleted on Logout?
我使用访问令牌和刷新令牌对我的 asp.net 核心 2 api.
用户进行身份验证
当用户实际点击注销按钮时,我清除包含访问令牌和刷新令牌的本地存储。
但我想知道我是否应该进行额外的调用并同时删除刷新令牌。
是的,我想你应该。关于清除旧的刷新令牌或尽可能保持新鲜有很多不同的意见。实际上,主要目的是保留刷新令牌,以便您以后可以重新使用它们。
但是如果人们通过点击按钮注销,那么你可以清理那些刷新令牌。
但是如果您想在不重新登录的情况下将它们保留在您的站点上更长时间,您可以使用刷新令牌重新发布访问令牌。因此,用户的身份验证令牌将更有效。但是如果用户想自己注销,那么你应该清理它并在他们下次登录时再次存储。
我使用访问令牌和刷新令牌对我的 asp.net 核心 2 api.
用户进行身份验证当用户实际点击注销按钮时,我清除包含访问令牌和刷新令牌的本地存储。
但我想知道我是否应该进行额外的调用并同时删除刷新令牌。
是的,我想你应该。关于清除旧的刷新令牌或尽可能保持新鲜有很多不同的意见。实际上,主要目的是保留刷新令牌,以便您以后可以重新使用它们。 但是如果人们通过点击按钮注销,那么你可以清理那些刷新令牌。
但是如果您想在不重新登录的情况下将它们保留在您的站点上更长时间,您可以使用刷新令牌重新发布访问令牌。因此,用户的身份验证令牌将更有效。但是如果用户想自己注销,那么你应该清理它并在他们下次登录时再次存储。