Comment stocker le jeton de rafraîchissement ?

Question

Je fais des recherches depuis un certain temps sur le stockage du jeton de rafraîchissement, mais je ne suis pas satisfait des informations que j'ai trouvées. Je voudrais savoir comment vous stockez votre jeton de rafraîchissement ?

Certaines personnes les stockent dans une base de données ou un cache comme Redis, mais je pense qu'en raison de la nature de JWT, il devrait être sans état. Mais je n'ai pas trouvé d'autre solution, je ne veux pas les stocker sur un dispositif de stockage, car cela pourrait causer une fuite de sécurité critique. Pourriez-vous me dire ce que vous en pensez ?

Merci pour vos réponses

Answer 1

Je suppose que cela dépend de ce que vous essayez d'accomplir ou de la façon dont les jetons sont créés. J'ai trouvé le database pour être un excellent endroit pour stocker refresh tokens . Pourquoi ? Parce que le jeton ressemble davantage à un mot de passe et qu'il est plus facile de conserver sa relation avec l'utilisateur lorsqu'il est stocké dans la base de données. En outre, quel que soit l'appareil utilisé par l'utilisateur, vous pouvez toujours accéder au jeton à partir de la base de données. Avec les autres méthodes, vous pouvez facilement perdre le jeton lorsque le cache ou les cookies sont effacés. Si vous les stockez sur l'appareil, un utilisateur peut changer d'appareil. Cependant, vous pouvez stocker un jeton expiring token créé à partir du jeton de rafraîchissement vers le périphérique/le stockage local, un cookie ou autre. N'interrogez la base de données pour un jeton de rafraîchissement que lorsque vous créez un nouveau jeton expirant.