Я создаю приложение, которое имеет внешний интерфейс для iOS и Android, а также Backend, состоящий из Flask API и базы данных MySQL.
В настоящее время наша аутентификация использует JWT.За исключением того, что я не уверен, что полностью понимаю, как это должно работать.
Я не знаю, где найти спецификации для JWT, поэтому когда я говорю JWT, я просто имею в виду полезную нагрузку JSON, зашифрованную с помощью библиотеки PyJWT.
В настоящее время истекает срок действиятокены случаются через 6 месяцев с момента их создания.Я чувствую, что это довольно небезопасная установка.
Из всех примеров, которые я видел, JWT имеют очень короткое время жизни, а затем есть некоторый «токен обновления», который обновляет его.
Но это все, что я знаю.Я не понимаю его достаточно хорошо, чтобы кодировать его на Python.
Может кто-нибудь помочь объяснить, что это за токен обновления, что именно он делает, как он создается и т. Д .?
ОБНОВЛЕНИЕ:
Что касается спецификаций для JWT, я прочитал это: https://tools.ietf.org/html/rfc7519
Здесь не упоминаются никакие токены обновления.
Итак, теперь мой вопрос: достаточно ли я защищен?
Стоит ли иметь конечную точку API logout, которая отправляет токен и добавляет его в черный список,так никто не может украсть его?