不懂就问,请教一下前端无感刷新 token 到底有没有意义?
MingLovesLife: 在技术网站看到过无数次前端无感刷新 token 的文章,一直很费解,为啥要刷新 token 呢?那前端给 token 刷新了,token 还有啥意义呢?
文章给出的原因是,用户正操作着呢,token 突然过期,跳登录页用户体验不好。
实现步骤:
accessToken 简称 at ,refreshToken 简称 rt
1. rt 有效期长,at 有效期短
2. at 过期了拿 rt 换 at ,重新请求
疑问:
1. 既然 rt 长期有效,直接用 rt 有啥问题
2. 如果从安全考虑,rt 被抓包拿了,也没辙呀
3. 既然后端知道用户操作了,如果是非异常操作,就自动给 token 延时行不?
不知道该方案具体是为了什么,还请大神们赐教。希望接到类似需求老哥们聊聊
PS:轻喷,心平气和
文章给出的原因是,用户正操作着呢,token 突然过期,跳登录页用户体验不好。
实现步骤:
accessToken 简称 at ,refreshToken 简称 rt
1. rt 有效期长,at 有效期短
2. at 过期了拿 rt 换 at ,重新请求
疑问:
1. 既然 rt 长期有效,直接用 rt 有啥问题
2. 如果从安全考虑,rt 被抓包拿了,也没辙呀
3. 既然后端知道用户操作了,如果是非异常操作,就自动给 token 延时行不?
不知道该方案具体是为了什么,还请大神们赐教。希望接到类似需求老哥们聊聊
PS:轻喷,心平气和