HTTPS的弱点JWT

Question

现在，我将开发移动应用程序，并考虑为JWT的auth。

我听说劫持访问令牌的保护技能正在提供刷新令牌。

但是，如果应用程序使用HTTPS，则无法在远程通信中解码令牌。因为HTTPS加密HTTP报头中的身份验证。

因此，在使用HTTPS的情况下，只提供访问令牌是没有问题的。我想..。

我是个新手，所以错过了逻辑什么的。请回答这个问题好吗？

谢谢。

Answer 1

HTTPS只是一种传输保护，您应该一直使用它，这是最佳实践。

您将接收访问API的访问令牌，因此您将其发送到API中，以验证用户/客户端的身份。

但同时，您希望有一个访问令牌有效的时间限制，比如1天、1小时或2分钟。

您可以作为客户端获得一个额外的令牌(刷新令牌)，您可以使用该令牌来请求新的访问令牌。

因此，这两种令牌有不同的用途。