No curso foi abordado a autenticação e autorização através de tokens JWT. Mas junto a esse Acess Token que é criado quando o usuário insere o login e senha, não é necessário também um Refresh Token para aumentar a segurança da aplicação?
No curso foi abordado a autenticação e autorização através de tokens JWT. Mas junto a esse Acess Token que é criado quando o usuário insere o login e senha, não é necessário também um Refresh Token para aumentar a segurança da aplicação?
Olá! Tudo bem? O propósito de utilizar Refresh Tokens não é especificamente aumentar a segurança da aplicação, mas sim melhorar a experiência do usuário final com mais praticidade. No modelo REST, os tokens JWT devem preferencialmente ter um tempo de validade bem curto, para dificultar ao máximo que usuários mal intencionados possam se aproveitar de algum tipo de vazamento. Então, imagine um usuário acessando seu site e tendo que refazer o login a cada 15 minutos, não parece ser uma experiência muito agradável. Para resolver isso, uma das soluções é usar Refresh Tokens, que vão permitir a atualização do Access Token do usuário sem que seja necessário que o mesmo refaça o login. Esse tipo de recurso pode ser usado por debaixo dos panos em uma aplicação Front-end para manter o usuário ativo no site por mais tempo, sem ter sua experiência prejudicada com logins frequentes.
Caso queira saber mais sobre esse assunto, você pode ler esse post desse blog: https://auth0.com/blog/pt-refresh-tokens-what-are-they-and-when-to-use-them/. Espero ter ajudado!