access_token和refresh_token實效如何設(shè)置
什么時候需要用戶跳轉(zhuǎn)到登錄頁面重新登錄?
token 過期了就需要用戶跳轉(zhuǎn)到等頁面重新登錄吆录?顯然不是,如果是 不活躍用戶 token過期了琼牧,確實需要跳轉(zhuǎn)到登錄頁面重新登錄恢筝。但是如果是 活躍用戶,就算Token過期了巨坊,也不應(yīng)該跳轉(zhuǎn)到登錄頁面重新登錄撬槽。
時效設(shè)置
為了保證能夠刷新用戶端的 access_token ,refresh_token 的有效時間不能小于 用戶活躍時間點趾撵,假設(shè) access_token 有效時間為et侄柔,那么用戶在[access_token 起始時間,2 * et]時間內(nèi)用戶都是活躍的占调,因此 refresh_token 的有效時間 >= 2 * access_token
一般,refresh_token 的有效時間 > 2 * access_token 的有效時間
比如勋拟,access_token 實效7天,那么 refresh_token 實效可以給15天,也可以給30天
當(dāng)然妈候,access_token和refresh_token 的時長具體多少敢靡,需要根據(jù)環(huán)境決定,如涉及到金錢的 銀行客戶端苦银,12306客戶端等 token時長都很短啸胧,而普通app客戶端的token可以是幾天甚至上月.
刷新refresh_token
每次 刷新access_token 時判斷 refresh_token 是否快過期 [ refresh_token 剩余有效時間 <= 2*access_token實效],如果是幔虏,那就連refresh_token 也刷新纺念。
如果希望降低 刷新refresh_token 頻率,可以將 refresh_token 實效提高
