const router = express.Router();
router.post('/refresh', ...{})
访问令牌有效期为7天,刷新令牌有效期为30天。如果7天过去了,它通知移动应用客户端已经通过,客户端发送一个刷新令牌到服务器检查刷新令牌是否有效,并立即收到一个新的7天访问令牌和一个30天的刷新令牌。都在这里,对吧?
但是30天后呢?如果用户30天没有登录怎么办?刷新令牌也将过期。我想永远保持签到。(这是手机应用,所以重新登录对用户体验不好)我不知道这个时候该怎么办。
根据应用程序的预期功能和安全需求,您有几个选项。
- 更改一个或两个令牌的过期时间,可能使刷新令牌无限以保持某些安全性
- 后台刷新是你可以考虑的选项吗?如果这可以在用户没有打开应用程序的情况下完成,它将为你工作得很好。
- 存储用户凭据并在刷新令牌过期后重新访问时重新登录(自动或手动)。