如何刷新與服務器的身份驗證令牌

Question

我正在實施客戶端 - 服務器系統。客戶端使用用戶名和密碼登錄，並且（最初）服務器使用在幾個小時內過期的令牌進行響應，並用於需要身份驗證的其餘服務。

當令牌過期時，我該如何刷新它？

• 保存的用戶名/密碼持久（加密），並再次調用登錄
• 保存某種密碼的哈希值嗎？
• 還有其他的選擇嗎？

我該如何將密碼發送到服務器？

• 客戶端應用散列和服務器只存儲它並驗證哈希值（和永遠不會知道真正的密碼）
• 客戶端通過安全通道和服務器驗證（lenght，實力派的原始密碼，等）並存儲散列？
• 還有其他的選擇嗎？

Answer 1

看看這個鏈接。 - >https://developers.hubspot.com/docs/methods/auth/refresh_token

據我所知，當你第一次使用密碼/用戶名登錄時，你應該得到一個你保存的刷新令牌（用於刷新），以及訪問令牌。每隔一段時間您都會打電話向服務器刷新令牌，向其提供刷新令牌和訪問令牌，併爲您提供新的訪問令牌和刷新令牌。

我認爲這個想法是，如果有人看到你的一個請求，他們只能模仿你一會兒。他們不知道刷新令牌，因此假設他們看不到刷新該令牌的請求，那麼當您刷新並獲取新的訪問令牌時，它們將被切斷。

我認爲通過安全通道發送密碼就可以了。

任何人都可以在這裏糾正我 - 我只是想幫助。