标签：过期 JWT jwt refresh access token 续期 机制 服务端

看之前需要了解一下原生token和jwt的工作原理

• 背景提要

jwt 是 原生token 会话的下一代，具有自验证的功能。他的改进是把原生token的有状态（服务端存储）设计模式改为了无状态（服务端无需存储）设计模式。解决了服务器端要存储大量会话信息的问题。所以，用jwt，就不应该在服务器端存储之，不然用以前的uuid生成的token不就好啦。 

• 问题说明

jwt怎么续期。jwt 生成以后就是不可修改的，所以这里的续期指的是返给客户端新的jwt。

所以今天讨论的主题准确点说应该是：jwt的刷新机制

• dis部分

奔着这个主题到Google和度娘怀里游了一个多月，却发现近乎八九成的搜索结果都是要服务端存贮jwt。WTF。。。

• 亮明观点

其他的文章有建议每次请求都刷新的（太空垃圾真的没影响吗），也有建议客户端自己判断过期时间主动请求刷新的（说好的前端无感知呢），唯一觉得可行的是：前端每次请求都携带access_token和refresh_token，后端验证access_token过期后，用refresh_token去鉴权中心重新获取access_token和refresh_token（所以这个地方要保证refresh_token的过期时间比access_token过期时间长，觉得两倍的时间最合理）。如果验证refresh_token也过期，则直接反馈前端会话过期，让前端重新登陆。

采用最后这种方案就是我的观点

标签：过期,JWT,jwt,refresh,access,token,续期,机制,服务端
来源： https://www.cnblogs.com/malefeng/p/13570689.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。