Я разрабатываю Web API для аутентификации, которая будет проходить аутентификацию с использованием аутентификации на основе токенов, и я думаю сохранить токен обновления внутри самого токена как утверждение, как мы делаем с идентификатором пользователя, когда приложение запрашивает вход в системуя вернусь, объект содержит следующие {токен: «значение токена + значение токена обновления», токен обновления: «значение зашифрованного обновления токена»} , и я не сохранит токен обновленияв базе данных .
Когда срок действия токена истекает, пользователь отправляет токен вместе с токеном обновления, подобным этому {токен: «значение токена + значение зашифрованного значения токена обновления», токен обновления: "обновить значение токена"} и на сервере я буду анализировать токен, чтобы получить токен обновления, а не извлекать его из базы данных; после этого я буду сравнивать значение, сохраненное в токене, со значением refresh-ken field.
Я не уверен, является ли это хорошей практикой или нет?