为什么要使用双token+redis呢?单token+redis+自动续期不行吗?
单token+redis的缺点:
可能会出现用户正在操作的时候,token过期了,让用户重新登录的情况。
单token+redis+自动续期的缺点:
单token设置短期的话,虽然一直操作可以通过拦截器重置token过期时间让它续期,但是如果隔一会儿不操作不续期,超过过期时间就过期了,那么用户需要重新登录,体验不好。
单token设置长期的话,就会有被盗用的风险。
如果是自动续期还是同一个token,那么token过期时间延长变成长期token那么还是会有盗用的风险。
如果是自动续期的时候刷新token,那么是拦截器是否需要返回新的token给前端,重新发起请求?
那么有没有一种实现方式既能活跃用户长时间登录,token还能安全不被盗用呢?
使用双token无感刷新:
双token:一个短期token,一个长期token。
短期token为访问token。
长期token为refreshToken。当短期token过期,前端发起请求刷新token接口,用来获取新的短期token,同时获取新的refreshToken返回给前端。(刷新token和refreshToken都是为了防止两种token永不过期被盗用)
标签:过期,redis,token,刷新,续期,无感 From: https://www.cnblogs.com/super-chao/p/18164638