refresh token是token之后的一個進一步的發(fā)展。它主要是為了讓用戶無感知的延長登錄狀態(tài)的有效期废膘。

于是現(xiàn)在的流程（省略掉了一些細節(jié)）是：

1. 賬號密碼登錄。

2. 服務(wù)器返回access_token和refresh_token兩個字符串渠啊，都要存到本地而且永久存儲迹鹅。

3. access_token在服務(wù)器的生命是1天，refresh_token在服務(wù)器的生命是7天江锨。這個天數(shù)可以自己公司自己定吃警。將生命值一起存到本地緩存，比如

{
  access_token:{
    value: 'xxx',
    expires: '一天以后的時間戳'
  },
  access_token:{
    value: 'ooo',
    expires: '7天以后的時間戳'
  }`
}

4. 發(fā)請求之前要做一些本地的判斷啄育，要判斷access_token是否過期酌心，沒過期的話，請求要header攜帶access_token挑豌，服務(wù)器判斷access_token是否過期安券，過期的話，返回401錯誤氓英。

5. 你的axios要攔截401錯誤侯勉，當(dāng)攔截到之后，立即向一個特設(shè)的api發(fā)請求铝阐，此時header攜帶的是refresh_token址貌。

6. 服務(wù)器判斷refresh_token是不是過期，如果沒有過期徘键，那么返回新的access_token和新的refresh token练对，然后把掛起的請求重新發(fā)出去。這里注意吹害，雖然refresh token的有效期是access_token的好幾倍螟凭，但是它往往撐不到生命結(jié)束，因為access_token一天就過期了赠制，那么refresh token即便沒有過期，也會被刷新成新的refresh token挟憔。

之前說了钟些，有些細節(jié)我省略掉了，全部流程可以看這個圖绊谭。這個圖的爭議部分就是access_token的“是否過期”和“是否即將過期”政恍，你可以判斷兩次，也可以只判斷是否過期达传，都成篙耗。

image.png

另外注意：

1. axios的攔截器怎么寫迫筑，其實還是很簡單的，因為攔截器本質(zhì)就是掛起請求宗弯，所以中間你插一個請求新的access_token的過程是沒問題的脯燃。

2. 圖里沒有提到refresh_token本地過期的判斷，應(yīng)該考慮上蒙保，如果本地過期辕棚，就立即跳到重新登錄。

3. 有同學(xué)說邓厕，那我一打開項目就已經(jīng)refresh token過期了逝嚎，怎么判斷？
   廢話么這不是详恼，項目加載過程中就會做ajax請求啊补君，請求如果過期了就跳轉(zhuǎn)到登錄啊。就是上面的流程昧互。

4. 有同學(xué)說挽铁，我不用refresh_token行不行？
   當(dāng)然行硅堆，refresh_token就是為了“無感知的延長用戶登錄有效期”屿储，不用的話，更簡單渐逃，access_token一天之后一定過期够掠，一定要重登陸。

5. 有同學(xué)說茄菊，不用refresh token疯潭，只是服務(wù)器在access_token臨近過期的時候延長access_token的服務(wù)器有效期行不行？
   也行面殖！但是這里面就有個問題竖哩，就是服務(wù)器要判斷你的access_token是不是臨近過期，這就需要任何一個請求發(fā)到服務(wù)器都要判斷一次token的有效期脊僚，是不是非常浪費服務(wù)器性能相叁？相對而言，瀏覽器向特定接口發(fā)一次請求辽幌，是不是非常節(jié)省服務(wù)器性能增淹？

6. 有同學(xué)說，還是不想用refresh token乌企，只在本地判斷access_token是不是臨近過期行不行虑润？只要本地臨近過期，就向服務(wù)器發(fā)送請求加酵，請求access_token延期拳喻，行不行哭当？
   行，但是安全性低冗澈。這就涉及到refresh_token的另一個作用钦勘，提升安全性。因為access_token你每天可能會發(fā)200次渗柿，但是refresh_token你每天發(fā)一次（上面說了个盆，雖然refresh_token有7天生命，但往往1天就隨著access_token刷新了）朵栖，你說哪個安全颊亮？

7. 有同學(xué)說，如果我正在向服務(wù)器發(fā)送多個請求陨溅，比如同時發(fā)了10個請求终惑，那么我們知道，請求服務(wù)器特定接口门扇，是需要時間的雹有，比如用時1秒，這1秒內(nèi)10個請求都獲得了401錯誤臼寄，axios會向特定接口發(fā)10個請求霸奕，這時候服務(wù)器會返回10個不同的access_token嗎？
   這就需要服務(wù)器做處理了吉拳，也就是后端同學(xué)需要考慮的事情质帅，他要保證服務(wù)器發(fā)回來的10個token的值必須是一致的。也就是說留攒，服務(wù)器新生成的access_token和refresh token在短時間內(nèi)（比如3秒內(nèi)）是不允許改變的煤惩。

8. 有同學(xué)說，拿著access_token和refresh_token是不是能永久登錄了炼邀？如果被外人拿到怎么辦魄揉？
   這就需要服務(wù)器判斷用戶異常行為，然后警報拭宁。這跟cookie/session方案的安全性是一樣的洛退，沒有警報的話，誰知道是不是你本人呢杰标？阿里騰訊也不敢說異地登錄的就一定是你本人兵怯，或者一定不是你本人吧？
   再有在旱，你用賬號密碼登錄的話摇零，是一定會刷新access_token和refresh_token的推掸，那么別人拿的access_token和refresh_token也就立即失效了桶蝎。

9. 有同學(xué)說驻仅，怎么注銷access_token呢？
   全文說的access_token和refresh_token登渣，并不是JWT方案噪服，而是傳統(tǒng)token方案，JWT方案才有“注銷困難”（但也是有辦法的）的問題胜茧，因為JWT在服務(wù)器只存在計算式的校驗粘优，而不是跟已有數(shù)據(jù)比對式的校驗，JWT是計算驗證呻顽，不是比對驗證雹顺。這里不提JWT方案，只說傳統(tǒng)token方案的話廊遍，因為token是在服務(wù)器是有儲存的嬉愧，發(fā)到服務(wù)器的token是要進行比對的。所以注銷很容易啊喉前，把服務(wù)器存的那份刪掉就行了没酣。