Autenticación JWT e implementación de token de actualización
Estoy desarrollando una aplicación REST con su propio mecanismo de autenticación y autorización. Quiero usar JSON Web Tokens para la autenticación. ¿Es la siguiente una implementación válida y segura?
Se desarrollará una API REST para aceptar nombre de usuario y contraseña y realizar la autenticación. El método HTTP que se utilizará es POST para que no haya almacenamiento en caché. Además, habrá seguridad SSL en el momento del tránsito.En el momento de la autenticación, se crearán dos JWT: token de acceso y token de actualización. El token de actualización tendrá una validez más larga. Ambos tokens se escribirán en cookies, de modo que se envíen en cada solicitud posteriorEn cada llamada a la API REST, los tokens se recuperarán del encabezado HTTP. Si el token de acceso no ha caducado, verifique los privilegios del usuario y permita el acceso en consecuencia. Si el token de acceso ha caducado pero el token de actualización es válido, vuelva a crear el token de acceso nuevo y actualice el token con nuevas fechas de vencimiento (realice todas las comprobaciones necesarias para garantizar que no se revoquen los derechos de autenticación del usuario) y vuelva a enviarlo a través de CookiesProporcione una API REST de cierre de sesión que restablecerá la cookie y, por lo tanto, las llamadas posteriores a la API se rechazarán hasta que se inicie sesión.Mi comprensión del token de actualización aquí es:
Debido a la presencia del token de actualización, podemos mantener un período de validez más corto para el token de acceso y verificar con frecuencia (al vencimiento del token de acceso) que el usuario aún está autorizado para iniciar sesión.
Por favor, corríjame si estoy equivocado.