基於令牌的身份驗證自動化應用程序

Question

（使用Web API）自動應用程序在其令牌到期時接收錯誤以獲得新令牌的正確/最合適的方式是什麼？

我瞭解基於標記的身份驗證是如何爲坐在屏幕前的最終用戶工作的，即當他們的令牌到期時，他們的下一個請求會將他們重定向到登錄頁面以獲取新令牌。

但是我想知道自動應用的最佳做法是什麼。 在這種情況下，沒有任何東西坐在屏幕前，因此重定向到屏幕以手動輸入細節並不合適。

我應該在401響應中爲客戶端應用程序返回一個url，以便他們知道在哪裏做POST來獲取新的令牌，還是更適合僅返回401和文檔的用戶應該去獲得一個新的令牌？

如果返回一個url和401響應是合適的，那麼正確的響應格式是什麼？

Answer 1

通常我認爲只要返回401並讓客戶端處理錯誤就沒有問題。在這一點上，您的web api應用程序已經完成了它的工作，並且由客戶決定接下來做出什麼決定。據推測，客戶端應用程序應該知道從哪裏獲得新的令牌，並首先創建了一個令牌。

另一種選擇是在舊的令牌到期前（如果你的令牌很快過期，否則不會打擾），有一個'更新令牌'方法來生成新的令牌。