jwt 的問(wèn)題

zhanqi123 更新于2022-03-18

access_token到期是自動(dòng)過(guò)期呢。還是要服務(wù)端用expires_in過(guò)期時(shí)間去判斷？
refresh_token 同問(wèn)？

 2026  3 0

3個(gè)回答

Tinywan 2022-03-18

都是自動(dòng)過(guò)期的

zhanqi123 2022-03-18

access_token這個(gè)自動(dòng)過(guò)期了。 refresh_token是自動(dòng)生成新的access_token返回給前端？還是說(shuō)要后端邏輯去處理。就是這兩個(gè)參數(shù)沒(méi)懂清楚原理
Tinywan 2022-03-18
如果 access_token 自動(dòng)過(guò)期了，前端直接使用 refresh_token請(qǐng)求接口重新獲取 access_token 。如果 refresh_token也過(guò)期了，則直接退出登錄，讓用戶(hù)重新登錄即可

access_token 有效期一般設(shè)置為7小時(shí)

refresh_token 有效期一般設(shè)置為一周
zhanqi123 2022-03-18

access_token和refresh_token 過(guò)期了。是不是這兩個(gè)參數(shù)的值自動(dòng)為空了。還是？請(qǐng)大神解答
Tinywan 2022-03-18

會(huì)拋出 JwtTokenException 異常，異常信息是：身份驗(yàn)證會(huì)話(huà)已過(guò)期，請(qǐng)重新登錄！
leizong 2022-06-28

那如果用戶(hù)在用app的時(shí)候，access_token和refresh_token同時(shí)過(guò)期的話(huà)，那不意味著這個(gè)用戶(hù)被強(qiáng)制性退出來(lái) ？
Tinywan 2022-06-28

是的，強(qiáng)制退出，重新登錄，如果你不想這樣子，那就設(shè)置過(guò)期時(shí)間很長(zhǎng)很長(zhǎng)，不過(guò)會(huì)存在安全問(wèn)題
leizong 2022-06-28

我的想法是在刷新token的時(shí)候除了返回access_token之外還返回refrsh_token，那樣的話(huà)就不會(huì)出現(xiàn)用戶(hù)用著用著，突然被強(qiáng)制性退出來(lái)了
leizong 2022-06-28

大佬，這邊刷新token的時(shí)候返回參數(shù)不能加一個(gè)refrsh_token值嗎，還是說(shuō)加了存在安全隱患，我公司前端這邊的人希望在刷新token的時(shí)候，除了返回access_token，還希望返回refrsh_token，這樣的話(huà)，用戶(hù)就不可能被強(qiáng)制退出來(lái)，作者你所說(shuō)的把過(guò)期時(shí)間設(shè)置很長(zhǎng)這顯然不合理
Tinywan 2022-06-28

你的這個(gè)是不是不符合邏輯，標(biāo)準(zhǔn)的JTW機(jī)制基本都是上面這種方式實(shí)現(xiàn)。你可以吧refrsh_token設(shè)置的足夠長(zhǎng)就可以了
leizong 2022-06-28

對(duì)，我后臺(tái)將access_token設(shè)置7天，refrsh_token設(shè)置1個(gè)月，那在refrsh_token快要過(guò)期的時(shí)候，用戶(hù)正在使用app，首先，access_token過(guò)期了，去找refrsh_token刷新access_token，又正好這時(shí)候refrsh_token也過(guò)期了，那這用戶(hù)的app用著用著，就直接被彈出來(lái)了說(shuō)你要登錄，那這也不合理吧，我們?cè)谑褂梦⑿牛Ц秾毜萢pp的時(shí)候，出現(xiàn)過(guò)被強(qiáng)制退出來(lái)的情況嗎，也沒(méi)有吧
Tinywan 2022-06-28

感謝反饋
晚安。 2022-07-06

這個(gè)生成的access_token 是存儲(chǔ)在哪里，redis還是
Tinywan 2022-07-06

不需要存儲(chǔ)

Tinywan 2022-06-28

通過(guò) refresh_token 刷新獲取 access_token，然后在返回的時(shí)候再次同時(shí)返回 access_token 和 refresh_token，這個(gè)我下來(lái)看看。

@leizong 請(qǐng)把你的需求場(chǎng)景詳細(xì)描述一下

leizong 2022-06-28

在用戶(hù)登錄的時(shí)候，返回access_token和refrsh_token，access_token的過(guò)期時(shí)間我設(shè)置1天，refrsh_token的過(guò)期時(shí)間我設(shè)置7天，只要用戶(hù)在使用app的時(shí)候，access_token一過(guò)期，就可以用refrsh_token刷新access_token，那我想說(shuō)的是，如果用戶(hù)在使用app的時(shí)候，正好在refrsh_token快過(guò)期的時(shí)候使用app，第一，access_token過(guò)期，去找refrsh_token，而這時(shí)候refrsh_token也正好過(guò)期了，那這個(gè)用戶(hù)的app就直接被彈出來(lái)說(shuō)你要登錄，一個(gè)用戶(hù)用app好好的，怎么可能被強(qiáng)制彈出來(lái)說(shuō)要登錄呢，我希望這個(gè)被強(qiáng)制彈出來(lái)登錄的情況不存在，也就是之前我所說(shuō)的，在用refrsh_token刷新access_token的時(shí)候，除了返回access_token的同時(shí)，還希望返回refrsh_token，那么無(wú)論這兩個(gè)token的過(guò)期時(shí)間設(shè)多久，都不會(huì)出現(xiàn)被強(qiáng)制退出來(lái)登錄的情況
Tinywan 2022-06-28

收到，晚點(diǎn)發(fā)個(gè)版本添加上去哈！
leizong 2022-06-28

好，但是如果這么搞不合理的話(huà)你就直接說(shuō)，比如安全，比如性能等等都可以說(shuō)，大家都在研究，都在學(xué)習(xí)