Hallo,

Versuche, das Grundprinzip von JWT Tokens genauer zu verstehen...

...genauer gesagt von Access und Refresh Tokens. Habe mir dazu jetzt drei verschiedene Tutorials mit [mindestens] vier verschiedenen Herangehensweisen angesehen und bin nun ein wenig verwirrt.

Beide Tokens werden mithilfe des Private Server Keys signiert und verschlüsselt an den Client geschickt. Das (länger gültige) Refresh Token wird dabei zusätzlich in der Datenbank mit der entsprechenden User ID hinterlegt./(?)

Wenn nun ein (kurzfristig gültiges) Access Token abläuft, wird das vom Client geschickte Refresh Token mit dem in der Datenbank abgeglichen (??) und wenn für gültig empfunden, wird ein neues Access Token ausgestellt. (???)

Wenn das Refresh Token abläuft - wird dann ein neues Refresh Token ausgestellt oder der Client zur erneuten Authentifizierung genötigt?

...oder war das alles Humbug und funktioniert in Wahrheit GAANZ anders?

Zu allem Überfluss kommen auch manche JWT Tutorials ganz ohne Refresh Token aus und behandeln nur Access Tokens.

Danke für Aufklärung!

Xandl.