如何刷新与服务器的身份验证令牌

Question

我正在实施客户端 - 服务器系统。客户端使用用户名和密码登录，并且（最初）服务器使用在几个小时内过期的令牌进行响应，并用于需要身份验证的其余服务。

当令牌过期时，我该如何刷新它？

• 保存的用户名/密码持久（加密），并再次调用登录
• 保存某种密码的哈希值吗？
• 还有其他的选择吗？

我该如何将密码发送到服务器？

• 客户端应用散列和服务器只存储它并验证哈希值（和永远不会知道真正的密码）
• 客户端通过安全通道和服务器验证（lenght，实力派的原始密码，等）并存储散列？
• 还有其他的选择吗？

Answer 1

看看这个链接。 - >https://developers.hubspot.com/docs/methods/auth/refresh_token

据我所知，当你第一次使用密码/用户名登录时，你应该得到一个你保存的刷新令牌（用于刷新），以及访问令牌。每隔一段时间您都会打电话向服务器刷新令牌，向其提供刷新令牌和访问令牌，并为您提供新的访问令牌和刷新令牌。

我认为这个想法是，如果有人看到你的一个请求，他们只能模仿你一会儿。他们不知道刷新令牌，因此假设他们看不到刷新该令牌的请求，那么当您刷新并获取新的访问令牌时，它们将被切断。

我认为通过安全通道发送密码就可以了。

任何人都可以在这里纠正我 - 我只是想帮助。