Eu tenho uma aplicação desenvolvida utilizando Reagir no front-end e ASP.Net API da Web backend. Eu estou usando JWT para autorização. O processo é
- Quando um usuário efetua logon e é autenticado, 2 tokens são enviados para o front-end, o token de acesso e de atualização do token. Um token de acesso é a JWT e atualiza um token é uma seqüência aleatória e uma atualização token é armazenado em um banco de dados.
- Para cada chamada subseqüente para APIs token de acesso é conectado no cabeçalho, eu tenho um filtro de autenticação valida o token de acesso.
- Uma vez que o token de acesso é expirou, um status 401 é lançada com a mensagem de erro TokenExpired.
- Uma vez que o front-end recebe 401, ele chama a atualização de token de API para obter o token de atualização
A pergunta que eu tenho é que eu não posso ter um filtro de autenticação para validar o token de acesso de atualizar tokens API como ele vai jogar 401 devido à expirado token de acesso, então eu preciso para fazer a atualização de token de API de ser anônimo para não bater o filtro de autenticação. Se eu fizer anônimo eu estou fazendo uma chamada para o banco de dados para obter a atualização de token armazenados para o usuário e compará-lo com o que eu recebi do front-end. Portanto, é seguro fazer a atualização token API anônimo, se não qual é a melhor maneira?