关于单token存在的问题的解决方案

单token存在什么问题，主要是token有效期设置长短的问题，如果设置的比较短，用户会频繁的登录，如果设置的比较长，会不太安全，因为token一旦被黑客截取的话，就可以通过此token与服务端进行交互了。

另外一方面，token是无状态的，也就是说，服务端一旦颁发了token就无法让其失效（除非过了有效期），这样的话，如果我们检测到token异常也无法使其失效，所以这也是无状态token存在的问题。

为了解决此问题，我们将采用【双token三验证】的解决方案来解决此问题。

解决该问题的流程图如下：

为了解决单token模式的问题，我们可以通过双token三验证的模式进行实现，主要解决的问题如下：

• token有效期长不安全

• • 登录成功后，生成2个token，分别是：access_token、refresh_token，前者有效期短（如：5分钟），后者的有效期长（如：24小时）
  • 正常请求后端服务时，携带access_token，如果发现access_token失效，就通过refresh_token到后台服务中换取新的access_token和refresh_token，这个可以理解为token的续签
  • 以此往复，直至refresh_token过期，需要用户重新登录

• token的无状态性

• • 为了使token有状态，也就是后端可以控制其提前失效，需要将refresh_token设计成只能使用一次
  • 需要将refresh_token存储到redis中，并且要设置过期时间
  • 这样的话，服务端如果检测到用户token有安全隐患（如：异地登录），只需要将refresh_token失效即可