https://blog.csdn.net/qq_39403734/article/details/79141429
- access_token生命周期很短,比如一到两个小时
- refresh_token生命周期很长,可以长久保存
- 登录以后的所有与服务器的请求都要有token的验证
- 假设access_token过期了,可以使用refresh_token来刷新access_token
- 传统的网页session机制不便于分布式认证(客户端发给服务端的cookie(包含session id)不能包含用户信息(比如用户的username或userid)),token通过加密算法,包含了用户的相关信息,有利于分布式(也就是多个服务器)认证。
疑问点:程序为啥不能在用户初次登录时保存用户的username和password,然后使用username和password由程序来自动刷新token呢?
网友评论