Am o aplicație dezvoltată folosind Reacționa în front-end și ASP.Net Web API în backend. Eu sunt, folosind JWT pentru autorizare. Procesul este
- Atunci când un utilizator se loghează și este autentificat, 2 token-uri sunt trimise la front-end, token de acces și de reîmprospătare token. Un token de acces este JWT și o reîmprospătează token este un șir aleatoriu și o reîmprospătare token-ul este stocat într-o bază de date.
- Pentru fiecare apel ulterior la APIs token de acces este atașat în antet, am o autentificare filtru care validează token-ul de acces.
- Odată token-ul de acces este expirat, un 401 stare este aruncat cu mesajul de eroare TokenExpired.
- Odată front-end primește 401, se numește refresh semn API pentru a obține refresh token
Întrebarea pe care o am este ca nu pot avea un filtru de autentificare pentru a valida accesul semn de refresh jetoane API ca se va arunca 401 din cauza expirat token de acces, așa că am nevoie pentru a face refresh semn API pentru a fi anonim, astfel încât să nu lovit de autentificare filtru. Dacă am face anonim, eu fac un apel la baza de date pentru a obține refresh semn stocate pentru utilizator și se compară cu cea pe care am primit de la front-end. Deci, este sigur de a face refresh semn API anonim, daca nu asta e cel mai bun mod?