Estou criando um aplicativo móvel e estou usando o JWT para autenticação.
Parece que a melhor maneira de fazer isso é emparelhar o token de acesso JWT com um token de atualização, para que eu possa expirar o token de acesso com a frequência que desejar.
- Como é um token de atualização? É uma string aleatória? Essa cadeia é criptografada? É outro JWT?
- O token de atualização seria armazenado no banco de dados no modelo de usuário para acesso, correto? Parece que deve ser criptografado neste caso
- Eu enviava o token de atualização de volta após o login do usuário e depois o cliente acessava uma rota separada para recuperar um token de acesso?