参考自:https://blog.csdn.net/huweijian5/article/details/88903561
前奏
- 在安卓中一开始使用一个Token进行接口安全,但是Token假如过期时间设置的长,难免会有安全风险,假如设置的时间端,就会出现用户没用多久,就会使得用户需要重新登录
- 采用双Token的方式,来使用户无感知的刷新Token,实现真正的免登录
设计
- 用户在登录之后返回access_token和refresh_token(这里假定他们的有效期分别是2小时和7天)
- 当access_token未过期时,则请求正常
- 当access_token过期了,此时服务端会返回过期提示给到客户端,客户端收到过期提示后,使用refresh_token去获取新的access_token和refresh_token(此时他们的有效期就又变为2小时和7天,旧的自然失效)
- 当refresh_token也过期了,使用它去获取新access_token时服务端就会返回过期提示,那么此时就应该让用户重新登录了
- 每次使用access_token时,都会更新refresh_token的有效期
- 流程图如下:
- 以上设计的一个好处就是只要用户在7天内有操作,那么就可以不用重新登录,而如果用户在7天内没有任何操作,那么则需要用户重新登录
- 使用长短周期token的好处就是短周期token可