1
我正在開發一款應用程序,以使用aws cognito來管理我的用戶身份驗證。我理解的方式是,一旦通過身份驗證,我將收到一個訪問令牌和一個刷新令牌。訪問令牌是短暫的,我將不得不使用刷新令牌來定期獲取新令牌。但是,我的問題是刷新令牌也有一個到期日期。刷新令牌到期時會發生什麼,我要求用戶再次登錄應用程序? Facebook應用或LinkedIn應用似乎讓用戶永久登錄。只有重新安裝應用程序纔會提示用戶再次登錄。我能想到的一種方式是將用戶名和密碼保存在應用程序中,但是這不會破壞基於此令牌的身份驗證的用途嗎? 那麼,永久登錄Facebook應用等用戶的正確方法是什麼?如何使用Facebook應用程序中的應用程序進行aws cognito永久登錄用戶
感謝您的回覆。設置如此長的刷新過期時間是否是標準做法?我感興趣的是它是如何通常完成的,如Facebook應用程序? –
我不知道一些嚴格的標準。不過,建議您考慮您嘗試保護的內容(例如銀行賬戶與博客討論)以及存儲令牌的設備(移動設備應用程序可以被認爲比瀏覽器更安全目的)。很明顯,令牌壽命越短,用戶友好度越低。你想要達到這個規模的地方就是你的電話。我在瀏覽器中使用1天,在協作應用程序中使用移動應用程序數年。 – RastoStric