<div dir="ltr">Jeremy, I don't think I understand your comment.<div><br></div><div>You *will* have to use basic auth to refresh the token when the original one expires. So there are limitations to a JWT, and for good reasons. A JWT is a weaker authenticator than a username+password because it expires. Because it is timestamped, it reduces the risk of compromising your account if someone sniffs the traffic.</div><div><br></div><div>Refreshing the token with a JWT seems marginally useful to me.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 29, 2017 at 1:02 PM, Jeremy Audet <span dir="ltr"><<a href="mailto:jaudet@redhat.com" target="_blank">jaudet@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>+1. I think one should be able to get a JWT with a JWT. This user experience:<br><br></div>> I can authenticate any API call with a JWT token.<br><br></div>...is nicer than this user experience:<br><br></div>> I can authenticate any API call with a JWT token. Oh, wait, exept getting a new JWT token. I wonder why? Is there some security risk here? I wonder if there's other API calls that also don't let me use JWT tokens? Perhaps I should use basic auth for all authentication?<br></div>
<br>______________________________<wbr>_________________<br>
Pulp-dev mailing list<br>
<a href="mailto:Pulp-dev@redhat.com">Pulp-dev@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-dev" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/pulp-dev</a><br>
<br></blockquote></div><br></div>