AAA token 过期后，如何自动续期？

cookie、session、token区别

关于token，session，cookie的概念和区别

1.token是 服务经过计算发给客户端的，服务不保存，每次客户端来请求，经过解密等计算来验证是否是自己下发的

2.session是服务本地保存，发给客户端，客户端每次访问都带着，直接和服务的session比对

3.cookie是保存在客户端上的一些基本信息，服务不保存，每次请求时客户端带上cookie，里面有一些账户密码，浏览记录什么的

【token过期续期的五种方案对比-哔哩哔哩】 https://b23.tv/wlwd2pj

目前主流的认证鉴权方案有2种。

第一种是引入Redis做分布式会话，即用户登录成功后，将用户身份、权限信息存入Redis，以一个唯一ID作为Key，并设置信息在Redis里的失效时间。这个唯一ID的Key将返回给客户端，客户端可以放入Cookie，sessionStorage等处做本地存储。下次访问的时候，将这个唯一ID放入请求参数中一起发送（一般放入Header）。服务端通过检查Redis里有无这个ID来判断用户是否登录，获取用户身份和权限信息。客户端如果长时间没有操作，则存储在Redis里会话信息过期自动删除。客户端每访问一次服务端，需刷新一次会话信息的过期时间，避免固定过期时间带来的低用户体验。

第二种是JWT，即Java Web Token。用户登录成功后，服务端向客户端返回的唯一ID不再是无意义的字符串，而是包含了用户身份、权限、失效时间等信息的加密字符串。并且这个字符串包含数字签名，服务端可对这个字符串做数字签名验签，确保该字符串未经篡改和伪造。相比分布式会话方案，JWT虽省去了Redis存储，但是每次访问都要做数字签名验证，增加了CPU的资源损耗。

JWT token的 payload 部分是一个json串，是要传递数据的一组声明，这些声明被JWT标准称为claims。

除了以上标准声明以外，我们还可以自定义声明。以 com.auth0 为例，下面代码片段实现了生成一个带有过期时间的token.

代码语言：javascript

复制

String token = JWT.create()
        .withIssuer(ISSUER)
        .withIssuedAt(new Date(currentTime))// 签发时间
        .withExpiresAt(new Date(currentTime + EXPIRES_IN * 1000 * 60))// 过期时间戳
        .withClaim("username", username)//自定义参数
        .sign(Algorithm.HMAC256(user.getPassword()));

其中：

• withIssuer() 设置签发主体；
• withIssuedAt() 设置签发时间；
• withExpiresAt() 设置过期时间戳，过期的时长为 EXPIRES_IN （单位秒）；
• withClaim() 设置自定义参数。

JWT设置了过期时间以后，一定超过，那么接口就不能访问了，需要用户重新登录获取token。如果经常需要用户重新登录，显然这种体验不是太好，因此很多应用会采用token过期后自动续期的方案，只有特定条件下才会让用户重新登录。

token过期的续期方案

解决token过期的续期问题可以有很多种不同的方案，这里举一些比较有代表性的例子。首先我们看一个单token方案，这个方案除了可以实现token续期以外，还可以实现某些条件下的强制重新登录。

单token方案

• 将 token 过期时间设置为15分钟；
• 前端发起请求，后端验证 token 是否过期；如果过期，前端发起刷新token请求，后端为前端返回一个新的token；
• 前端用新的token发起请求，请求成功；
• 如果要实现每隔72小时，必须重新登录，后端需要记录每次用户的登录时间；用户每次请求时，检查用户最后一次登录日期，如超过72小时，则拒绝刷新token的请求，请求失败，跳转到登录页面。

另外后端还可以记录刷新token的次数，比如最多刷新50次，如果达到50次，则不再允许刷新，需要用户重新授权。

上面介绍的单token方案原理比较简单。下面我们再看一个双token方案。

双token方案

• 登录成功以后，后端返回 access_token 和 refresh_token，客户端缓存此两种token;
• 使用 access_token 请求接口资源，成功则调用成功；如果token超时，客户端携带 refresh_token 调用token刷新接口获取新的 access_token;
• 后端接受刷新token的请求后，检查 refresh_token 是否过期。如果过期，拒绝刷新，客户端收到该状态后，跳转到登录页；如果未过期，生成新的 access_token 返回给客户端。
• 客户端携带新的 access_token 重新调用上面的资源接口。
• 客户端退出登录或修改密码后，注销旧的token，使 access_token 和 refresh_token 失效，同时清空客户端的 access_token 和 refresh_toke。