Entiendo que, como alguien que recientemente comenzó a usar tokens web JSON, una vez que caduca un token de acceso , se puede generar uno nuevo usando un token de actualización .

Actualmente tengo un middleware en mi servidor configurado de tal manera que, si falla una verificación de JWT, usa el token de actualización para generar un nuevo token de acceso y luego intenta el proceso de verificación nuevamente. Si esto tiene éxito, envía una respuesta con el nuevo token de acceso adjunto. Si falla, envía un error 401.

Sin embargo, para que esto funcione, el cliente debe enviar tanto los tokens de acceso como los de actualización . Mis solicitudes de recuperación están configuradas actualmente de modo que envían el token de acceso bajo el encabezado de Authorization como Bearer [token] .

Sin embargo, al leer los documentos de JWT, no encontré nada que se refiera a la forma correcta de enviar el token de actualización . Una breve búsqueda arrojó que debería enviarse en el cuerpo de una solicitud POST; sin embargo, dado que actualmente estoy enviando ambos tokens en todas las solicitudes de recuperación que hago, esto no funcionaría para las solicitudes GET.

¿Debo enviar ambos tokens en todas las solicitudes? Si es así, ¿cómo debo enviar el token de actualización en una solicitud GET? Dado que está almacenado en las cookies del cliente, he considerado extraerlo de allí, aunque tengo curiosidad por saber si existe un método mejor/más generalmente aceptado.