【知识点】token无感刷新

[swustzzh]

标识登录状态的解决方案通常有两种：session和jwt

• session: 通过cookie返回id，关联到服务端内容里保存的session对象，问题是对象存储在特定的服务器，不支持分布式
• jwt: 用户信息存储到token里，每次客户端请求带上token，通常放在authorization的header里，token存储在客户端，所以支持分部署

为了安全，通常token都会设置一个过期时间，服务端验证token在有效期内，该token就能一直使用。问题在于token过期之后，需要重新登录，这样体验并不好。
需要加续签机制，延长token有效期。

主流方案：双token，一个access_token，一个refresh_token。

通常access_token有效期较短，refresh_token有效期较长。当access_token过期之后，通过refresh_token（同样能表示用户信息）来刷新拿到新的access_token和refresh_token，达到续签的目的。（如果长时间未登录，超过refresh_token的有效期，同样需要重新登录）

[swlws]

双Token方面可以再具体一点，具体落地有两种方案：

1. 前端主动更新Token。前端判断 access_token 的有效期，如当距离有效期还剩下1/3时间时，主动发起获取新access_token的请求（使用rrefresh_token获取新的access_token）
2. 后台控制更新Token。基于切面编程的思路，后台校验到acess_token距离失效还剩下 1/3 时间时，后台使用refresh_token(存储在headers中的、或存储在数据库中的)，主动获取最新的access_token，将值放入response headers中

[swustzzh]

前后端判断有效期需要每次都去计算，性能角度来说和是不是1/3时间没什么关系了，那refresh_token这种设计思路还有啥意义吗？
而且这种设计根本不需要refresh_toek呀，因为access_token还没过期，直接用access_token不更好？