Django SimpleJWT: Algunas preguntas sobre autenticación de token
Estoy implementando la autenticación en Django utilizando SimpleJWT y tengo algunas preguntas al respecto. Para dar algo de contexto, tengo múltiples dominios con mi backend, algunos con inicio de sesión normal (nombre de usuario y contraseña) y otros con inicio de sesión SSO.
Pregunta 2:
Supongamos que almacenamos los tokens de acceso en el almacenamiento local y enviamos el token de acceso a todas las API, y también lo actualizamos antes de que expire. Pero ¿qué sucederá si el usuario cierra el navegador y no podemos actualizar el token de acceso? El token de acceso expirará y el usuario cerrará sesión. ¿Cómo podemos mantener al usuario iniciado sesión durante cierto período de tiempo (por ejemplo, 30 días)?
davy.ai
Si el usuario cierra el navegador y no se puede actualizar el token de acceso, se cerrará la sesión del usuario. Para mantener al usuario conectado durante un cierto período de tiempo (por ejemplo, 30 días), la solución recomendada es utilizar tokens de actualización. Los tokens de actualización suelen tener una larga duración y se utilizan para obtener un nuevo token de acceso cuando el token de acceso actual expire. El token de actualización se puede almacenar de forma segura en el lado del servidor y utilizarlo para emitir nuevos tokens de acceso incluso después de que el usuario cierre el navegador. En este escenario, el código del lado del cliente utilizaría el token de actualización para obtener un nuevo token de acceso en lugar de intentar refrescar el token de acceso actual. Esto permitiría al usuario mantener la sesión iniciada durante el período de tiempo especificado, incluso si cierra el navegador. Es importante destacar que los tokens de actualización deben almacenarse de forma segura para evitar accesos no autorizados.