Ön uçta React kullanılarak geliştirilmiş bir uygulamam var ve ASP.Net Arka uçta Web API'si. Yetkilendirme için JWT kullanıyorum. Süreç şu şekildedir
- Bir kullanıcı oturum açtığında ve kimliği doğrulandığında, ön uç, erişim belirteci ve yenileme belirtecine 2 belirteç gönderilir. Erişim belirteci jwt'dir ve yenileme belirteci rasgele bir dizedir ve yenileme belirteci bir veritabanında depolanır.
- Sonraki her API çağrısı için erişim belirteci başlığa eklenir, erişim belirtecini doğrulayan bir kimlik doğrulama filtrem var.
- Erişim belirtecinin süresi dolduğunda, TokenExpired hata iletisiyle 401 durumu atılır.
- Ön uç 401'i aldığında, yenileme belirtecini almak için yenileme belirteci API'sini çağırır
Vadesi dolmuş erişim simgesi için 401 atar gibi yenile simgeleri API erişim simgesi doğrulamak için kimlik doğrulama filtre olamaz benim merak ettiğim şey ise, yani refresh token API anonim olmak çok kimlik doğrulama süzgeci vurmak için değil gerek. Anonim hale getirirsem, kullanıcı için saklanan yenileme belirtecini almak ve ön uçtan aldığım ile karşılaştırmak için veritabanına bir çağrı yapıyorum. Öyleyse, en iyi yol değilse, yenileme belirteci API'sini anonim hale getirmek güvenli midir?