Я пытаюсь выяснить, как мне следует сохранять аутентификацию.
Допустим, пользователь успешно аутентифицируется с помощью электронной почты и пароля. Затем сервер генерирует и возвращает два токена:
- accesstoken (срок действия jwt 15 минут) для хранения в хранилище браузера
- refreshtoken (срок действия jwt 7 дней) в качестве защищенного файла cookie.
При хранении маркера доступа в локальном хранилище (или хранилище сеансов) приложение React просто проверит, существует ли он в хранилище, и перейдет к визуализации частного маршрута. Таким образом, это означает, что если у пользователя есть недействительный / украденный токен доступа, React, похоже, все еще временно отображает приватную страницу (хотя и без личного содержимого), пока токен не будет проверен и признан недействительным. Это странное поведение?
При таком условии должно ли приложение React проверять и обновлять токены каждый раз, когда пользователь получает доступ к частному маршруту? наряду с тем, когда он извлекает личные данные?
В настоящее время у меня есть токен доступа и токен обновления, назначенный для безопасных файлов cookie, а частные маршруты в React всегда обновляют токены перед отображением личных страниц. Это вызывает кратковременное мигание страницы входа в систему перед отображением любых личных страниц, если у пользователя есть действительные файлы cookie.
Я пытаюсь выяснить, что React должен отображать во время проверки токена, иесли мне нужно обновлять токен каждый раз, когда он загружает частные маршруты и получает личные данные.