JWT访问令牌与刷新令牌（创建）

Question

我正在创建一个Asp.net核心REST服务。目前通过JWT承载令牌进行身份验证。

现在，我的代码如下：

        DateTimeOffset dtNow = DateTime.Now;

        Claim[] claims = new Claim[]
        {
            new Claim(JwtRegisteredClaimNames.Sub, strUsername),
            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
            new Claim(JwtRegisteredClaimNames.Iat, dtNow.ToUnixTimeSeconds().ToString(), ClaimValueTypes.Integer64)
        };

        JwtSecurityToken jwtAccess = new JwtSecurityToken(_options.Issuer, _options.Audience, claims, dtNow.DateTime, dtNow.DateTime.Add(_options.AccessTokenExpiration),
                                                          _options.SigningCredentials);

        var response = new
        {
            access_token = new JwtSecurityTokenHandler().WriteToken(jwtAccess),
            token_type = "Bearer",
            expires_in = (int)_options.AccessTokenExpiration.TotalSeconds,
            refresh_token = ""
        };

问题：

1. 现在，我的访问令牌对我来说是好的1小时和我的刷新 代币60天。这些合理的价值观是什么？
2. 看不太多 关于如何创建refresh_token的文档......就是这样创建的 完全就像访问令牌一样，但只是使用不同的超时？
3. 我的理解是我应该将刷新令牌存储在数据库中，如果用户发送刷新令牌请求，我需要验证令牌的签名并确保它在我的数据库中吗？
4. 当用户请求刷新令牌时，我应该返回相同的refresh_token，无论它是否已过期，让用户担心是否有新的？
5. 用户一次只能有一个刷新令牌，对吗？如果他们再做一次password_grant，我只是覆盖刷新令牌，好像他们正在获得一个全新的？
6. 最后一个问题是，我看到人们正在进行JWT身份验证，这就是为什么我这样做lol，但这有什么不同，只是通过HTTPS发送用户名/密码？我知道JTW在有效负载中携带状态/角色/等，因此可以保存数据库调用，但由于身份验证令牌很短，所以他们每5分钟就必须获得一个新令牌，所以这似乎都是喜欢洗脸，除非我错过了什么？

Answer 1

1. 这完全取决于您的应用程序的需求，但这听起来像是合理的数字。

2. 它们的创建方式不同。访问令牌通常是包含JWT的令牌。刷新令牌是一个引用令牌，必须保存在提供程序上，并在传入新的访问令牌时进行备份。

3. 刷新令牌没有要验证的签名。基本上，您将传递客户端ID和秘密以及刷新令牌等信息，这将允许您获取新的访问令牌。就像长时间保存的用户名和密码一样，必要时可以列入黑名单。

4. 不可以在每次请求新的访问令牌时更新刷新令牌，这将为您提供“滑动”刷新令牌。

5. 他们可以为每个应用程序设置不同的令牌，但每个应用程序可以在执行新登录时覆盖以前的刷新令牌。

6. 是的，用户必须在大约30分钟内获得一个新的访问令牌，但是当您的角色提供者与您的应用程序不同时，这也会有所帮助。这为API提供了一种查看角色的方法，而无需调用授权服务器。当您在令牌中存储信息时，请求保存的数量非常大，并且每30分钟只需要重新获取该信息，而不是针对每个API调用或回发向单独的服务器发送额外的HTTP请求。

希望其中一些有用。我说的是次要的经验，但是有很好的资源来解释Auth0中的这些东西，或者基本上来自IdentityServer3上的人（现在是4）