細(xì)心的你可能會發(fā)現(xiàn)，我們在使用app的時候只需要登陸一次賬號之后下一次打開就不需要再次登陸，但經(jīng)過一段時間不登錄之后又會要求我們重新登陸，你知道這是如何實現(xiàn)的嗎？

      雙token驗證

web前端培訓(xùn)雙token1" />

      具體說明如下：

      1.根據(jù)需要下載軟件，完成注冊賬戶

      2.登錄賬戶，后端返回 兩個token信息，分別為 access_token 以及 refresh_token，access_token稱之為短token，refresh_token稱之為長token

      3.短token也就是access_token未過期，所有的請求一切都正常，用戶需要什么數(shù)據(jù)就返回什么數(shù)據(jù)

      4.access_token 過期，服務(wù)端返回一個狀態(tài)碼給客戶端，客戶端接收到該狀態(tài)碼之后，使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當(dāng)于重置token

      5.如果在refresh_token有效期中沒有使用過該軟件，意味著refresh_token過期，使用它獲取新的 access_token 和 refresh_token 時會返回新的一個狀態(tài)碼，提示用戶必須登錄

      有的人可能會有如下疑問：

      為什么在使用 refresh_token 時要返回新的 access_token 和 refresh_token，而不是延長 原來的 refresh_token 有效期？

      為了安全，如果一旦 refresh_token 被黑客等人員截獲到，他們就一直可以非法使用你的賬號

      即使一旦被截獲，只要用戶這邊刷新就會重新獲取到新的 refresh_token，那么以前的 被截獲的 refresh_token 就會失效

      token的時間設(shè)置

      token的時間設(shè)置需要看需求進(jìn)行劃分區(qū)別設(shè)置：

      PC網(wǎng)絡(luò)應(yīng)用：對于網(wǎng)絡(luò)應(yīng)用程序而言，由于token可以直接直觀地獲取到，因此不管是accessToken還是refreshToken為了安全起見，其過期時間都不應(yīng)該設(shè)置得很長，且需要不停地更換token，因此PC網(wǎng)絡(luò)應(yīng)用的accessToken一般設(shè)置為2h過期，而refreshToken設(shè)置為1天到2天比較好，不足1天也是可以的，如果設(shè)置的時間比較短就在活躍期間時常刷新freshToken就好了，如果設(shè)置的時間比較長，就只需要設(shè)置一個閾值（比如7day的refreshToken設(shè)置一個6day閾值），在refreshToken小于等于這個閾值的時候就進(jìn)行刷新refreshToken就好了。

      手機(jī)應(yīng)用：對于手機(jī)APP應(yīng)用而言，登錄操作一般只做一次，因此token的過期時間必是無限，即不會過期，不過為了安全起見（比如防止你丟手機(jī)），token應(yīng)該以某種程度上對用戶可見（比如在安全中心里檢驗了身份之后可以讓你看到哪些設(shè)備有token，即哪些設(shè)備會被允許登錄）并可讓用戶對其進(jìn)行一定程度上的操作（比如你手機(jī)丟了，然后登錄安全中心移除那個手機(jī)的token，也就是移除那個手機(jī)的登陸權(quán)限，從而使那個手機(jī)的應(yīng)用上的你的帳號強(qiáng)制下線）

      無效的Token的處理

      對于頻繁更換的Token，如何處理舊的未過期的而又無效的Token，以下提供了幾個思路：

      1.簡單地從瀏覽器中移除token就好了

      顯然，這種方式對于服務(wù)器方面的安全而言并沒有什么卵用，但它能通過移除存在的token來阻止攻擊者（比如，攻擊者必須在用戶下線之前竊取到token）

      2.制作一張token黑/白名單

      在移除了瀏覽器存儲的token后如果還想要再嚴(yán)格點，就只能在服務(wù)器上制作一張已經(jīng)無效但是沒過期的token的黑/白名單了，在每次請求中都操作數(shù)據(jù)庫進(jìn)行token的匹配，并以某種方式進(jìn)行維護(hù)（不管是黑名單的定期刪除維護(hù)也好，白名單的無效時刪除也好），不過顯然這種方式還是違背了token無狀態(tài)的初衷，但是除此之外也沒別的辦法。

      存儲可以按照userId—token的方式存儲在數(shù)據(jù)庫中（當(dāng)然也可以按你喜歡添加其他字段標(biāo)明其他信息，比如說mac地址啦，是手機(jī)還是電腦啦，設(shè)備型號啦，巴拉巴拉巴拉····），白名單的話直接存儲有效的token，在需要token無效的邏輯中刪除指定token即可（比如刷新token的時候把舊的無效的但未過期的刪掉）。而如果是黑名單的話就需要你定期去刪除其中已經(jīng)過期的token了。而驗證的話除了要去數(shù)據(jù)庫名單里匹配之外還需要驗證token本身的有效性。

      3.只需要將token的過期時間設(shè)置的足夠短就行了

      如何刷新Token（引用自github）

      以上就是雙token登陸驗證的介紹了，同學(xué)們不妨親自去試試，最后如果你對web前端培訓(xùn)感興趣的話，不妨來千鋒WEB前端培訓(xùn)班參加我們的web前端培訓(xùn)課程的學(xué)習(xí)，現(xiàn)在咨詢更有免費學(xué)習(xí)資料可以領(lǐng)取，還有海量免費學(xué)習(xí)資料，趕緊去了解一下吧。