Я хотел бы реализовать вход пользователя с помощью JWT, но есть некоторая путаница.
Сначала, когда пользователь успешно вошел в систему, сервер выдает токен доступа и токен обновления. Затем сервер отправляет информацию о пользователе (идентификатор, имя, класс) в токене доступа.
В настоящее время токен обновления сохраняется в базе данных вместе с идентификатором пользователя и не доставляется клиенту.
Токен доступа имеет период 7 дней, и если клиент возвращается в течение 3 дней, аутентифицируйте пользователя через существующий токен доступа.
Если токен доступа был более 3 дней, сервер использует user_id для запроса токена обновления, хранящегося в базе данных. В это время, если токен обновления действителен, сервер попытается переиздать 7-дневный токен доступа.
Я хочу управлять пользователями таким образом, это правильно?
Я думаю, что сервер не должен передавать клиенту токен обновления.
Я прочитал следующее, но я не знаю, как это сделать правильно. Спасибо за ваш совет.