من برای تأیید اعتبار کاربران برای برنامه های تلفن همراه و وب خود در همان API از JWT استفاده می کنم.
 گذرنامه :: refreshTokensExpireIn (اکنون () -> addHours (1))؛

هنگامی که یک کاربر وارد

1. تأیید اعتبار (نام کاربری و رمز عبور) می شود دسترسی به نشانه دسترسی (سمت مشتری) ذخیره می کند ، در حالی که برای refresh_token (من از آن استفاده نمی کنم)
2. اگر access_token منقضی شده باشد ، آن را ذخیره می کند. مستقیماً وارد امضا شوید
   دوباره (شماره 1 تکرار)

سؤال من: از آنجا که انقضا یک ساعت به طول می انجامد و فکر می کنید
  فرآیند به اندازه کافی امن است. آیا چیزی از دست رفته ام؟

من می دانم با استفاده از refresh_token.

1. اگر access_token منقضی شده باشد ، از نشانه تازه سازی استفاده می کند
   دریافت یک نشانه دسترسی جدید + علامت تازه سازی جدید. (به شناسه مشتری نیاز دارد
   و راز)
2. حضور نشان تازه کردن به معنای نشانگر دسترسی است
   منقضی شده و حتی بدون داشتن کاربر می توانید یک مورد جدید را دریافت کنید
   تعامل
3. در نظر گرفته شده است به طور خودکار شناسایی و جلوگیری از تلاش برای استفاده از
   همان نشانه تازه کردن به طور موازی با برنامه ها و دستگاه های مختلف.
4. خطر بروز نشت طولانی دسترسی access_token را کاهش می دهد (که در مورد من
   مورد استفاده نمی شود)
5. پس از آنکه توکن جدید دسترسی + توکن تازه سازی با استفاده از
   refresh_token آن دسترسی های قبلی و نشانگر و refresh_token قبلی خواهند بود
   بی فایده یا باطل شده

سوال من: آیا باید از refresh_token استفاده کنم؟ من به فکر پس انداز هستم
  پشتیبان یا سرور. تنظیم زمان انقضا بیشتر از مدت زمان طولانی است
  access_token که هنوز 1 ساعت زمان دارد اما برای ساختن refresh_token
  آن را 1 سال مگر اینکه ابطال شود. پس از تأیید اعتبار ، آن را تولید می کند
  با استفاده از refresh_token با ارسال نامه جدید Access_token در client_side ، سپس دوباره refresh_token جدید را دوباره در سرور و غیره ذخیره کنید. این کار هر زمان انجام می شود که وی وارد شوید یا ثبت نام کنید. آیا فکر می کنید صرفه جویی در صرفه جویی در این امر مناسب است
  refresh_token در back-end؟