鉴权问题一直是个经典问题,从最初的cookie-session方案,到token方案,再到使用签名保证准确性的JWT方案
一直到OAuth2.0,这里我在项目中对于原来的传统授权方式使用双JWT进行改造
为什么要使用双token
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长:
- 当用户信息发生更改时,token中的信息无法及时更改
- 增加token中信息泄露的风险
- token过期时间短的话,用户需要不停登陆,体验较差
即可以实现被窃取到accessToken也无所谓,只是短时间内有效,而在accessToken过期时,前端调用续期接口再次获取新的双token,实现安全,静默续期等功能,我这里画了一张流程图
