问:为啥有access_token还要有refresh_token
答:因为要兼顾安全性和用户体验,access_token设置超时时间,保证安全性,用refresh_token保证用户体验。
问:什么时候会用refresh_token去刷新access_token
答:refresh_token超时时间设置大于access_token,access_token失效后,refresh_token还没有失效,这时候用户活跃操作就会触发refresh_token刷新access_token,这样就可以保证,活跃用户不会跳转登录页面,只有当refresh_token和access_token都失效了,用户才需要重新认证。