Я пытаюсь понять, как (или если) мы можем обновить изменения профиля пользователя, такие как имя, адрес электронной почты и т. д., в JWT OAuth 2.0 Access Token
, выданном во время предоставления обновления. Обычно кажется, что эти токены не только неизменяемы, но и во время обновления никакая информация, кроме iat
, nbf
, exp
и т. д., не может быть обновлена. Это точно? Если да, то как я могу отразить изменения профиля пользователя, такие как имя и т. д., чтобы убедиться, что токен доступа содержит точную информацию?
Токен доступа неизменяем, но вы говорите о выпуске нового токена доступа. Мне неизвестна какая-либо спецификация, которая ограничивала бы новый токен доступа теми же утверждениями, что и старый.
Говоря, что вы должны помнить, что токены доступа не предназначены для передачи информации об аутентифицированном пользователе, а скорее для информации, необходимой для авторизации запросов. Для вас может быть лучше реализовать конечную точку userinfo (как это используется в стандарте OpenID Connect) и считывать данные профиля из этой конечной точки. Таким образом, вы будете уверены, что данные, возвращаемые с этой конечной точки, всегда свежие.