Mam aplikacja opracowana z wykorzystaniem React w interfejsie i ASP.Net Web API w бэкэнде. Używam JWT do autoryzacji. Proces polega na
- Gdy użytkownik loguje się do systemu i uwierzytelniony, na interfejs wysyłane są 2 wejścia: token dostępu i token aktualizacji. Token dostępu to JWT, a token pack-jest to losowy ciąg znaków i token aktualizacji są przechowywane w bazie danych.
- Dla każdego kolejnego połączenia token dostępu API, założonego w tytule, mam filtr uwierzytelniania, który sprawdza token dostępu.
- Jak tylko termin ważności tokenu dostępu skończy, pojawi się status 401 z komunikatem o błędzie TokenExpired.
- Jak tylko interfejs otrzyma 401, on spowoduje, że API token aktualizacji, aby uzyskać token aktualizacji
Pytanie, które mam, polega na tym, że u mnie nie może być filtr uwierzytelniania w celu weryfikacji tokena dostępu API tokenów aktualizacji, tak jak on wyda 401 z powodu token dostępu, które wygasły, więc muszę zrobić API token aktualizacji anonimowy, aby nie dostał się w filtr uwierzytelniania. Jeśli robię anonim, dzwonię do bazy danych, aby uzyskać uchwyt aktualizacji, zapisany dla użytkownika, i porównać go z tym, który dostałem od zewnętrznego interfejsu. Więc, czy można bezpiecznie zrobić API tokenów aktualizacji anonimowy, jeśli nie, to jaki jest najlepszy sposób?