## 背景

 現(xiàn)如今，人人有手機(jī)，手機(jī)皆為蘋果安卓等智能手機(jī)；

 現(xiàn)如今，人人愛網(wǎng)購，網(wǎng)購皆為淘寶京東等電商平臺。

 喜歡網(wǎng)購的你是否發(fā)現(xiàn)，下載好淘寶京東，只要你時不時的用一下它，就不用登錄了。

 為什么呢？

 從技術(shù)的角度而言，當(dāng)用戶在一定的時間內(nèi)使用過該平臺就可以不用再次登錄，但一定要注意的是首次肯定得登錄，如果用戶操過一定的時間沒有使用，就必須得重新登錄，這種方式我們將它稱之為雙token。

## 流程示意圖


具體說明如下：

- 1.根據(jù)需要下載軟件，完成注冊賬戶
- 2.登錄賬戶，后端返回 兩個token信息，分別為 access_token 以及 refresh_token，access_token稱之為短token，refresh_token稱之為長token
- 3.短token也就是access_token未過期，所有的請求一切都正常，用戶需要什么數(shù)據(jù)就返回什么數(shù)據(jù)
- 4.access_token 過期，服務(wù)端返回一個狀態(tài)碼給客戶端，客戶端接收到該狀態(tài)碼之后，使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當(dāng)于重置token
- 5.如果在refresh_token有效期中沒有使用過該軟件，意味著refresh_token過期，使用它獲取新的 access_token 和 refresh_token 時會返回新的一個狀態(tài)碼，提示用戶必須登錄

有的人可能會有如下疑問：

- 為什么在使用 refresh_token 時要返回新的 access_token 和 refresh_token，而不是延長 原來的 refresh_token 有效期？
- 為了安全，如果一旦 refresh_token 被黑客等人員截獲到，他們就一直可以非法使用你的賬號
- 即使一旦被截獲，只要用戶這邊刷新就會重新獲取到新的 refresh_token，那么以前的 被截獲的 refresh_token 就會失效

## token的時間設(shè)置

token的時間設(shè)置需要看需求進(jìn)行劃分區(qū)別設(shè)置：

### PC網(wǎng)絡(luò)應(yīng)用

對于網(wǎng)絡(luò)應(yīng)用程序而言，由于token可以直接直觀地獲取到，因此不管是accessToken還是refreshToken為了安全起見，其過期時間都不應(yīng)該設(shè)置得很長，且需要不停地更換token，因此PC網(wǎng)絡(luò)應(yīng)用的accessToken一般設(shè)置為2h過期，而refreshToken設(shè)置為1天到2天比較好，不足1天也是可以的，如果設(shè)置的時間比較短就在活躍期間時常刷新freshToken就好了，如果設(shè)置的時間比較長，就只需要設(shè)置一個閾值（比如7day的refreshToken設(shè)置一個6day閾值），在refreshToken小于等于這個閾值的時候就進(jìn)行刷新refreshToken就好了。

### 手機(jī)應(yīng)用

對于手機(jī)APP應(yīng)用而言，登錄操作一般只做一次，因此token的過期時間必是無限，即不會過期，不過為了安全起見（比如防止你丟手機(jī)），token應(yīng)該以某種程度上對用戶可見（比如在安全中心里檢驗(yàn)了身份之后可以讓你看到哪些設(shè)備有token，即哪些設(shè)備會被允許登錄）并可讓用戶對其進(jìn)行一定程度上的操作（比如你手機(jī)丟了，然后登錄安全中心移除那個手機(jī)的token，也就是移除那個手機(jī)的登陸權(quán)限，從而使那個手機(jī)的應(yīng)用上的你的帳號強(qiáng)制下線）

## 無效的Token的處理

對于頻繁更換的Token，如何處理舊的未過期的而又無效的Token，以下提供了幾個思路：

1. 簡單地從瀏覽器中移除token就好了

顯然，這種方式對于服務(wù)器方面的安全而言并沒有什么卵用，但它能通過移除存在的token來阻止攻擊者（比如，攻擊者必須在用戶下線之前竊取到token）

2） 制作一張token黑/白名單

在移除了瀏覽器存儲的token后如果還想要再嚴(yán)格點(diǎn)，就只能在服務(wù)器上制作一張已經(jīng)無效但是沒過期的token的黑/白名單了，在每次請求中都操作數(shù)據(jù)庫進(jìn)行token的匹配，并以某種方式進(jìn)行維護(hù)（不管是黑名單的定期刪除維護(hù)也好，白名單的無效時刪除也好），不過顯然這種方式還是違背了token無狀態(tài)的初衷，但是除此之外也沒別的辦法。

存儲可以按照userId—token的方式存儲在數(shù)據(jù)庫中（當(dāng)然也可以按你喜歡添加其他字段標(biāo)明其他信息，比如說mac地址啦，是手機(jī)還是電腦啦，設(shè)備型號啦，巴拉巴拉巴拉····），白名單的話直接存儲有效的token，在需要token無效的邏輯中刪除指定token即可（比如刷新token的時候把舊的無效的但未過期的刪掉）。而如果是黑名單的話就需要你定期去刪除其中已經(jīng)過期的token了。

而驗(yàn)證的話除了要去數(shù)據(jù)庫名單里匹配之外還需要驗(yàn)證token本身的有效性。

3）只需要將token的過期時間設(shè)置的足夠短就行了

## 如何刷新Token（引用自github）

```text
static refreshToken = (token): string => {
    let optionKeys = ['iat', 'exp', 'iss', 'sub'];
    let newToken;
    let obj = {};

    let now = Math.floor(Date.now()/1000);
    let timeToExpire = (token['exp'] - now);

    if (timeToExpire < (60 * 60)) { //1h
        for (let key in token) {
            if (optionKeys.indexOf(key) === -1) {
                obj[key] = token[key];
            }
        }

        let options = {
            expiresIn: '7 days',
            issuer: 'moi',
            subject: token.sub,
            algorithm: 'HS256'
        };

        newToken = JWT.sign(obj, Config.get('/jwtSecret'), options);
    }
    else {
        newToken = '';  //no need to refresh, do what you want here.
    }

    return newToken;
}
```

## 刷新refreshToken的另一種思路(官網(wǎng))

```text
/**
 * Example to refresh tokens using https://github.com/auth0/node-jsonwebtoken
 * It was requested to be introduced at as part of the jsonwebtoken library,
 * since we feel it does not add too much value but it will add code to mantain
 * we won't include it.
 *
 * I create this gist just to help those who want to auto-refresh JWTs.
 */

const jwt = require('jsonwebtoken');

function TokenGenerator (secretOrPrivateKey, secretOrPublicKey, options) {
  this.secretOrPrivateKey = secretOrPrivateKey;
  this.secretOrPublicKey = secretOrPublicKey;
  this.options = options; //algorithm + keyid + noTimestamp + expiresIn + notBefore
}

TokenGenerator.prototype.sign = function(payload, signOptions) {
  const jwtSignOptions = Object.assign({}, signOptions, this.options);
  return jwt.sign(payload, this.secretOrPrivateKey, jwtSignOptions);
}

// refreshOptions.verify = options you would use with verify function
// refreshOptions.jwtid = contains the id for the new token
TokenGenerator.prototype.refresh = function(token, refreshOptions) {
  const payload = jwt.verify(token, this.secretOrPublicKey, refreshOptions.verify);
  delete payload.iat;
  delete payload.exp;
  delete payload.nbf;
  delete payload.jti; //We are generating a new token, if you are using jwtid during signing, pass it in refreshOptions
  const jwtSignOptions = Object.assign({ }, this.options, { jwtid: refreshOptions.jwtid });
  // The first signing converted all needed options into claims, they are already in the payload
  return jwt.sign(payload, this.secretOrPrivateKey, jwtSignOptions);
}

module.exports = TokenGenerator;
```

測試模塊：

```text
/**
 * Just few lines to test the behavior.
 */

const TokenGenerator = require('./token-generator');
const jwt = require('jsonwebtoken');

const tokenGenerator = new TokenGenerator('a', 'a', { algorithm: 'HS256', keyid: '1', noTimestamp: false, expiresIn: '2m', notBefore: '2s' })
token = tokenGenerator.sign({ myclaim: 'something' }, { audience: 'myaud', issuer: 'myissuer', jwtid: '1', subject: 'user' })
setTimeout(function () {
  token2 = tokenGenerator.refresh(token, { verify: { audience: 'myaud', issuer: 'myissuer' }, jwtid: '2' })
  console.log(jwt.decode(token, { complete: true }))
  console.log(jwt.decode(token2, { complete: true }))
}, 3000)
```

更多關(guān)于web培訓(xùn)的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗(yàn)，采用全程面授高品質(zhì)、高體驗(yàn)培養(yǎng)模式，擁有國內(nèi)一體化教學(xué)管理及學(xué)員服務(wù)，助力更多學(xué)員實(shí)現(xiàn)高薪夢想。