## 背景

 現(xiàn)如今，人人有手機(jī)，手機(jī)皆為蘋(píng)果安卓等智能手機(jī)；

 現(xiàn)如今，人人愛(ài)網(wǎng)購(gòu)，網(wǎng)購(gòu)皆為淘寶京東等電商平臺(tái)。

 喜歡網(wǎng)購(gòu)的你是否發(fā)現(xiàn)，下載好淘寶京東，只要你時(shí)不時(shí)的用一下它，就不用登錄了。

 為什么呢？

 從技術(shù)的角度而言，當(dāng)用戶(hù)在一定的時(shí)間內(nèi)使用過(guò)該平臺(tái)就可以不用再次登錄，但一定要注意的是首次肯定得登錄，如果用戶(hù)操過(guò)一定的時(shí)間沒(méi)有使用，就必須得重新登錄，這種方式我們將它稱(chēng)之為雙token。

## 流程示意圖


具體說(shuō)明如下：

- 1.根據(jù)需要下載軟件，完成注冊(cè)賬戶(hù)
- 2.登錄賬戶(hù)，后端返回 兩個(gè)token信息，分別為 access_token 以及 refresh_token，access_token稱(chēng)之為短token，refresh_token稱(chēng)之為長(zhǎng)token
- 3.短token也就是access_token未過(guò)期，所有的請(qǐng)求一切都正常，用戶(hù)需要什么數(shù)據(jù)就返回什么數(shù)據(jù)
- 4.access_token 過(guò)期，服務(wù)端返回一個(gè)狀態(tài)碼給客戶(hù)端，客戶(hù)端接收到該狀態(tài)碼之后，使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當(dāng)于重置token
- 5.如果在refresh_token有效期中沒(méi)有使用過(guò)該軟件，意味著refresh_token過(guò)期，使用它獲取新的 access_token 和 refresh_token 時(shí)會(huì)返回新的一個(gè)狀態(tài)碼，提示用戶(hù)必須登錄

有的人可能會(huì)有如下疑問(wèn)：

- 為什么在使用 refresh_token 時(shí)要返回新的 access_token 和 refresh_token，而不是延長(zhǎng) 原來(lái)的 refresh_token 有效期？
- 為了安全，如果一旦 refresh_token 被黑客等人員截獲到，他們就一直可以非法使用你的賬號(hào)
- 即使一旦被截獲，只要用戶(hù)這邊刷新就會(huì)重新獲取到新的 refresh_token，那么以前的 被截獲的 refresh_token 就會(huì)失效

## token的時(shí)間設(shè)置

token的時(shí)間設(shè)置需要看需求進(jìn)行劃分區(qū)別設(shè)置：

### PC網(wǎng)絡(luò)應(yīng)用

對(duì)于網(wǎng)絡(luò)應(yīng)用程序而言，由于token可以直接直觀地獲取到，因此不管是accessToken還是refreshToken為了安全起見(jiàn)，其過(guò)期時(shí)間都不應(yīng)該設(shè)置得很長(zhǎng)，且需要不停地更換token，因此PC網(wǎng)絡(luò)應(yīng)用的accessToken一般設(shè)置為2h過(guò)期，而refreshToken設(shè)置為1天到2天比較好，不足1天也是可以的，如果設(shè)置的時(shí)間比較短就在活躍期間時(shí)常刷新freshToken就好了，如果設(shè)置的時(shí)間比較長(zhǎng)，就只需要設(shè)置一個(gè)閾值（比如7day的refreshToken設(shè)置一個(gè)6day閾值），在refreshToken小于等于這個(gè)閾值的時(shí)候就進(jìn)行刷新refreshToken就好了。

### 手機(jī)應(yīng)用

對(duì)于手機(jī)APP應(yīng)用而言，登錄操作一般只做一次，因此token的過(guò)期時(shí)間必是無(wú)限，即不會(huì)過(guò)期，不過(guò)為了安全起見(jiàn)（比如防止你丟手機(jī)），token應(yīng)該以某種程度上對(duì)用戶(hù)可見(jiàn)（比如在安全中心里檢驗(yàn)了身份之后可以讓你看到哪些設(shè)備有token，即哪些設(shè)備會(huì)被允許登錄）并可讓用戶(hù)對(duì)其進(jìn)行一定程度上的操作（比如你手機(jī)丟了，然后登錄安全中心移除那個(gè)手機(jī)的token，也就是移除那個(gè)手機(jī)的登陸權(quán)限，從而使那個(gè)手機(jī)的應(yīng)用上的你的帳號(hào)強(qiáng)制下線）

## 無(wú)效的Token的處理

對(duì)于頻繁更換的Token，如何處理舊的未過(guò)期的而又無(wú)效的Token，以下提供了幾個(gè)思路：

1. 簡(jiǎn)單地從瀏覽器中移除token就好了

顯然，這種方式對(duì)于服務(wù)器方面的安全而言并沒(méi)有什么卵用，但它能通過(guò)移除存在的token來(lái)阻止攻擊者（比如，攻擊者必須在用戶(hù)下線之前竊取到token）

2） 制作一張token黑/白名單

在移除了瀏覽器存儲(chǔ)的token后如果還想要再?lài)?yán)格點(diǎn)，就只能在服務(wù)器上制作一張已經(jīng)無(wú)效但是沒(méi)過(guò)期的token的黑/白名單了，在每次請(qǐng)求中都操作數(shù)據(jù)庫(kù)進(jìn)行token的匹配，并以某種方式進(jìn)行維護(hù)（不管是黑名單的定期刪除維護(hù)也好，白名單的無(wú)效時(shí)刪除也好），不過(guò)顯然這種方式還是違背了token無(wú)狀態(tài)的初衷，但是除此之外也沒(méi)別的辦法。

存儲(chǔ)可以按照userId—token的方式存儲(chǔ)在數(shù)據(jù)庫(kù)中（當(dāng)然也可以按你喜歡添加其他字段標(biāo)明其他信息，比如說(shuō)mac地址啦，是手機(jī)還是電腦啦，設(shè)備型號(hào)啦，巴拉巴拉巴拉····），白名單的話直接存儲(chǔ)有效的token，在需要token無(wú)效的邏輯中刪除指定token即可（比如刷新token的時(shí)候把舊的無(wú)效的但未過(guò)期的刪掉）。而如果是黑名單的話就需要你定期去刪除其中已經(jīng)過(guò)期的token了。

而驗(yàn)證的話除了要去數(shù)據(jù)庫(kù)名單里匹配之外還需要驗(yàn)證token本身的有效性。

3）只需要將token的過(guò)期時(shí)間設(shè)置的足夠短就行了

## 如何刷新Token（引用自github）

```text
static refreshToken = (token): string => {
    let optionKeys = ['iat', 'exp', 'iss', 'sub'];
    let newToken;
    let obj = {};

    let now = Math.floor(Date.now()/1000);
    let timeToExpire = (token['exp'] - now);

    if (timeToExpire < (60 * 60)) { //1h
        for (let key in token) {
            if (optionKeys.indexOf(key) === -1) {
                obj[key] = token[key];
            }
        }

        let options = {
            expiresIn: '7 days',
            issuer: 'moi',
            subject: token.sub,
            algorithm: 'HS256'
        };

        newToken = JWT.sign(obj, Config.get('/jwtSecret'), options);
    }
    else {
        newToken = '';  //no need to refresh, do what you want here.
    }

    return newToken;
}
```

## 刷新refreshToken的另一種思路(官網(wǎng))

```text
/**
 * Example to refresh tokens using https://github.com/auth0/node-jsonwebtoken
 * It was requested to be introduced at as part of the jsonwebtoken library,
 * since we feel it does not add too much value but it will add code to mantain
 * we won't include it.
 *
 * I create this gist just to help those who want to auto-refresh JWTs.
 */

const jwt = require('jsonwebtoken');

function TokenGenerator (secretOrPrivateKey, secretOrPublicKey, options) {
  this.secretOrPrivateKey = secretOrPrivateKey;
  this.secretOrPublicKey = secretOrPublicKey;
  this.options = options; //algorithm + keyid + noTimestamp + expiresIn + notBefore
}

TokenGenerator.prototype.sign = function(payload, signOptions) {
  const jwtSignOptions = Object.assign({}, signOptions, this.options);
  return jwt.sign(payload, this.secretOrPrivateKey, jwtSignOptions);
}

// refreshOptions.verify = options you would use with verify function
// refreshOptions.jwtid = contains the id for the new token
TokenGenerator.prototype.refresh = function(token, refreshOptions) {
  const payload = jwt.verify(token, this.secretOrPublicKey, refreshOptions.verify);
  delete payload.iat;
  delete payload.exp;
  delete payload.nbf;
  delete payload.jti; //We are generating a new token, if you are using jwtid during signing, pass it in refreshOptions
  const jwtSignOptions = Object.assign({ }, this.options, { jwtid: refreshOptions.jwtid });
  // The first signing converted all needed options into claims, they are already in the payload
  return jwt.sign(payload, this.secretOrPrivateKey, jwtSignOptions);
}

module.exports = TokenGenerator;
```

測(cè)試模塊：

```text
/**
 * Just few lines to test the behavior.
 */

const TokenGenerator = require('./token-generator');
const jwt = require('jsonwebtoken');

const tokenGenerator = new TokenGenerator('a', 'a', { algorithm: 'HS256', keyid: '1', noTimestamp: false, expiresIn: '2m', notBefore: '2s' })
token = tokenGenerator.sign({ myclaim: 'something' }, { audience: 'myaud', issuer: 'myissuer', jwtid: '1', subject: 'user' })
setTimeout(function () {
  token2 = tokenGenerator.refresh(token, { verify: { audience: 'myaud', issuer: 'myissuer' }, jwtid: '2' })
  console.log(jwt.decode(token, { complete: true }))
  console.log(jwt.decode(token2, { complete: true }))
}, 3000)
```

更多關(guān)于web培訓(xùn)的問(wèn)題，歡迎咨詢(xún)千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗(yàn)，采用全程面授高品質(zhì)、高體驗(yàn)培養(yǎng)模式，擁有國(guó)內(nèi)一體化教學(xué)管理及學(xué)員服務(wù)，助力更多學(xué)員實(shí)現(xiàn)高薪夢(mèng)想。