两个tokken:
- Access Token:短期token,用户直接使用来访问资源,失效需要重新登录获取
- Refresh Token:长期token,用来Access token过期后获取新的token
使用双token的原因:
- 安全性:通过两个token,可以在不影响用户体验的情况下,减少安全风险
- 权限管理:能够更好地管理用户权限
- 用户体验:不影响用户体验的前提下,实现后台安全管理和策略调研,用户不需要频繁登录
- 灵活性:在需要进行更细粒度的权限控制或者策略调整时,双token系统提供了更多的灵活性