不懂就问，请教一下前端无感刷新 token 到底有没有意义？

accessToken 用来真正的访问资源， 它通常是无状态的 JWT ， 带有时间戳，过期时间短。

refreshToken 一般在服务端有存（方便吊销），过期时间长

这样的好处是，用户的访问直接使用 accessToken, 这样不会每次都需要访问服务端鉴权，可以降低服务端压力。


比如 accessToekn 30s 过期，那鉴权部分就从每次请求都鉴权-> 变成了 30s 才访问一次鉴权续期

降低了服务端压力

@635925926 使用 jwt 服务端不需要存储， 只需要算法验证， 短短的 token ，要么服务端存储，要么搞一套新的算法规则 还不如 jwt 呢。jwt 最大优势就是只需要算法验证验证就行。

对于我们这种游戏业务，只允许单客户端登录的，有很重要的意义。

1. rt 的存在，就是为了减少核心认证数据的传输频率（比如账号密码，手机验证码等）
2. rt 会持久化，at 的校验成本更低，往往会存在内存中直接校验。
3. rt 无法用来登录，只能用来刷新 at ，重点是一个账户只有唯一的一个有效 rt ，每次刷新都需要当前正确的 rt ，刷新后 rt 会变，之前的 rt 就失效了。如果所谓的 rt 被抓包拿了，除非只有你一个人用，否则，用户刷新失败触发账号密码或验证码登录，此时刷新的 rt 会覆盖掉抓包拿的 rt 。也就是游戏中的发现自己被挤下来后，自己用最高优先级的账号密码登录，对方就无法再登录了。

重点：
rt 只能使用一次，这是与账户密码最大的不同点。
rt 只能使用一次，这也是与 at 最大的不同点，成本较 at 高。

总结：
正常用户的使用过程中，几乎很少触发账户密码验证码登录，体验更好。
非正常使用过程中，也能一定程度的保证安全。
减少账户密码的传输频率也能降低其被窃取的风险。

@zorui jwt 无状态，不储存，无法被控制。反而是缺陷。

你说的这种不用 rt 直接把 at 刷新也可以实现无感刷新这种双 token 主要还是用在 oauth2 里，第三方应用申请一个 rt ，然后用 rt 去申请 at ，at 有过期时间，过期了用 rt 去重新获取
这里有一篇文章可以学习学习 https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

单纯是后端懒得写自动延长 token 有效期的业务，所以交给前端来调取憋屈的“刷新 token”接口

设计两个 token 主要是为了平衡安全性和便利性。