新手想问问大家前后端分离中的token之无痛刷新

新年快乐，大年初一就开始努力了吗，这也太牛了。

token 过期无非就是解决 token 泄露的问题。现在假设 token 已经被别人窃取，只要 token 没有过期，他就能够行使和你一样的权利。现在时间来到 token 过期的时间点，这时有两种情况，第一你比他先访问应用，这时你就会刷新并保存新的 token，窃取者的 token 就会失效，无法进行登录，也无法刷新 token。第二种就是他比你先访问应用，他刷新并保存了新的 token，这时你的 token 就会失效。token 失效后你就需要重新登录，登录成功就会再次刷新 token，窃取者的 token 会再次失效。所以 token 的有效期是有用的。

以上都是我自己猜测出来的，不一定正确，这些问题我弄的也不是特别清楚。

你的疑问我之前也有想过，jwt-auth 默认是一小时，我是设置为七天，记住我是一个月，无痛刷新的我没弄。

弄了之后就是只要你有经常上线，一辈子都就不会退出，还是比较方便的，除非你是不活跃了，那么 token 失效了就比较安全了。

你的电脑让别人使用的话，不管是做什么，都不安全的，就要自己点退出了，或者弄来宾用户等。

一楼基本都把意思表达清楚了, 楼主想表达的意思无非是觉得这样没有意义, 不如把时间设置长一点
对于不通过用户登录就直接获取新 Token 觉得这个很不合理, 但是其实这都是从技术的角度出发来思考的, 实际上多久过期 怎么过期 这些都是 pm 来决定的 没必要操这个心

一般是发两个token 一个token一个refreshtoken ,token比refreshtoken的过期时间短(一般短一半的时间,token 1小时 refreshtoken 2小时) 那么当token到后端过期了 前端会使用refreshtoken到有个接口获取一个新的token和refreshtoken替换现在本地的两个token就做到自动续时了,如果两个时间都无效的话 那么就会跳转到登录页面进行重新登录

无痛刷新的前几天我弄上了，所有 CURD 都加了中间件了，除了 login、register、guest 这些。

单点、多设备这些的没弄。