已经过期的 Token 为什么还可以用来刷新 Token？

API 的教程中有提到
https://learnku.com/courses/laravel-advanc...

因为有两个时间，如果超过了可刷新时间，也就是用户很久没有使用，就应该让用户重新登录啊

@liyu001989 原来是分开两个时间，感谢回答

token的过期时间是出于安全性考虑
token_refresh的过期时间是出于用户体验考虑

出于安全性考虑，不能颁发给用户永久的token，用户需要每隔一段时间来用过期的token来跟服务器换取一个新的token

打个比方：
你在食堂办理了一张饭卡，有效期是1个月，每个月初都要去食堂激活一次，以整明你还在学校念书。如果超过3个月内都没有激活这张饭卡，视为该名学生已经不在学校，如果3个月后这名学生回来食堂吃饭，需要重新办理饭卡

同样的道理转换到token，只是这个激活步骤不需要用户真的去操作，这个是我们来做的，全程用户都是无感的。