Я работаю над приложением, которое использует систему аутентификации на основе токенов, где пользователь предоставляет свое имя пользователя/пароль и получает в ответ токен (токен сохраняется в базе данных также). Затем последующие запросы будут включать этот токен в качестве настраиваемого заголовка, и мы можем использовать его для идентификации пользователя. Все это прекрасно работает.Пользовательский (не-OAuth) Реализация обновления токена
Прямо сейчас, если пользователь не заходил на 3 дня, мы теряем токен. Я немного читал об обновлении токенов в OAuth, и мне было интересно, смогу ли я каким-то образом реализовать что-то подобное. то есть при предоставлении токена аутентификации, я также предоставляю токен обновления, который может быть использован позже, чтобы запросить новый токен аутентификации. С точки зрения безопасности, похоже, это похоже на то, что он никогда не заканчивает аутентификацию пользователя. Должен ли я отправлять дополнительную информацию с токеном обновления для проверки пользователя?