jwl名字中文 jwlibrary官方网站

背景现如今，人人有手机，手机皆为苹果安卓等智能手机；
现如今，人人爱网购，网购皆为淘宝京东等电商平台。
喜欢网购的你是否发现，下载好淘宝京东，只要你时不时的用一下它，就不用登录了。
这是为什么呢？
从技术的角度而言，当用户在一定的时间内使用过该平台就可以不用再次登录，但一定要注意的是首次肯定得登录，如果用户超过一定的时间没有使用，就必须得重新登录，这种方式我们将它称之为双token 。
流程示意图【jwl名字中文 jwlibrary官方网站】

文章插图

具体说明如下：

1.根据需要下载软件，完成注册账户
2.登录账户，后端返回两个token信息，分别为 access_token 以及 refresh_token，access_token称之为短token，refresh_token称之为长token
3.短token也就是access_token未过期，所有的请求一切都正常，用户需要什么数据就返回什么数据
4.access_token 过期，服务端返回一个状态码给客户端，客户端接收到该状态码之后，使用refresh_token重新获取一次新的 access_token 和 refresh_token,相当于重置token
5.如果在refresh_token有效期中没有使用过该软件，意味着refresh_token过期，使用它获取新的 access_token 和 refresh_token 时会返回新的一个状态码，提示用户必须登录

有的人可能会有这样的疑问：为什么在使用 refresh_token 时要返回新的access_token 和 refresh_token，而不是延长原来的 refresh_token 有效期？

为了安全，如果一旦 refresh_token 被黑客等人员截获到，他们就一直可以非法使用你的账号
即使一旦被截获，只要用户这边刷新就会重新获取到新的 refresh_token，那么以前的被截获的 refresh_token 就会失效

为了安全，如果一旦 refresh_token 被黑客等人员截获到，他们就一直可以非法使用你的账号
即使一旦被截获，只要用户这边刷新就会重新获取到新的 refresh_token，那么以前的被截获的 refresh_token 就会失效

token的时间设置token的时间设置需要看需求进行划分区别设置：
PC网络应用对于网络应用程序而言，由于token可以直接直观地获取到，因此不管是accessToken还是refreshToken为了安全起见，其过期时间都不应该设置得很长，且需要不停地更换token，因此PC网络应用的accessToken一般设置为2h过期，而refreshToken设置为1天到2天比较好，不足1天也是可以的，如果设置的时间比较短就在活跃期间时常刷新freshToken就好了，如果设置的时间比较长，就只需要设置一个阈值（比如7day的refreshToken设置一个6day阈值），在refreshToken小于等于这个阈值的时候就进行刷新refreshToken就好了。
手机应用对于手机APP应用而言，登录操作一般只做一次，因此token的过期时间必是无限，即不会过期，不过为了安全起见（比如防止你丢手机），token应该以某种程度上对用户可见（比如在安全中心里检验了身份之后可以让你看到哪些设备有token，即哪些设备会被允许登录）并可让用户对其进行一定程度上的操作（比如你手机丢了，然后登录安全中心移除那个手机的token，也就是移除那个手机的登陆权限，从而使那个手机的应用上的你的帐号强制下线）
无效的Token的处理对于频繁更换的Token，如何处理旧的未过期的而又无效的Token，以下提供了几个思路：
1）简单地从浏览器中移除token就好了
显然，这种方式对于服务器方面的安全而言并没有什么卵用，但它能通过移除存在的token来阻止攻击者（比如，攻击者必须在用户下线之前窃取到token）

特别声明：本站内容均来自网友提供或互联网，仅供参考，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。