JWT : question sur le renouvellement des tokens
Bonjour à tous,
Je développe actuellement un système d'authentification sur une API REST en Slim Framework (PHP) qui sera consommée par une PWA sous Angular.
J'ai implémenté les JWT coté API, c'est à dire que j'ai un endpoint qui reçoit un couple login/password et renvoie un token valide si l'user est reconnu.
Ce token, comme vous le savez a une durée de vie et c'est là que je bute : comment faire les choses proprement pour que mon utilisateur puisse s'authentifier de façon permanente ?
En gros je ne voudrais pas devoir lui redemander son mot de passe à chaque expiration du token (je n'ai pas encore défini de durée de vie des tokens).
Donc j'imagine que ma PWA peut par exemple, à chaque fois qu'elle émet un call sur l'API, vérifie la date d'expiration du token qu'elle possède et si le token est périmé, en redemander un nouveau sur la base de l'ancien.
Est-ce que selon vous cette méthode est sécurisée ? Ne perd t'on pas l'interêt d'avoir une durée de vie sur les token si il suffit d'en redemander un nouveau sur la base de l'ancien pour continuer à faire des requêtes ?
Merci