這節(jié)我們繼續(xù)講Token的刷新和主動(dòng)踢人下線。

圖片

首先Token為啥刷新呢？很簡(jiǎn)單為了安全性用戶AccessToken的時(shí)效性會(huì)相對(duì)較短，保證Token被其他惡意用戶拿到后也不能長(zhǎng)時(shí)間用它來(lái)瀏覽用戶的數(shù)據(jù)。

即然有效期短那就得有合理的方式讓用戶的Token能夠被刷新，不然用戶使用產(chǎn)品期間隔一段時(shí)間就得登錄一次，一天登錄好幾次，用戶體驗(yàn)可想而知，定是不會(huì)好的。

為什么要有刷新Token

在我們的用戶認(rèn)證體系中，當(dāng)用戶登錄成功后，在服務(wù)端存儲(chǔ)以下的Token信息和用戶會(huì)話信息。

圖片

這里我們?cè)O(shè)計(jì)了兩種Token：AccessToken以及RefreshToken，AccessToken專門用戶來(lái)接口請(qǐng)求中驗(yàn)證請(qǐng)求的用戶身份，我們上面說(shuō)過(guò)為了安全考慮它的時(shí)效比較短一般 0.5h ～ 2h，到期后客戶端可以用RefreshToken來(lái)刷新獲得新的Token信息。

RefreshToken的時(shí)效一般設(shè)的較長(zhǎng)10 ～ 30天都可以，假設(shè)用戶首次登錄后過(guò)了幾天再來(lái)使用應(yīng)用，客戶端仍能通過(guò)RefreshToken來(lái)刷新Token信息，用戶在短期未使用產(chǎn)品的情況下仍能保持住登錄態(tài)，不至于出現(xiàn)隔幾天再用每次都得重新登錄的情況。

所以兩個(gè)Token，AccessToken 時(shí)效短，RefreshToken 時(shí)效長(zhǎng)，兩者結(jié)合，在安全性和用戶體驗(yàn)上都有一定保證。

在上節(jié)用戶 Token 的派發(fā)、存儲(chǔ)和認(rèn)證開(kāi)發(fā)的功能中，項(xiàng)目的用戶登錄系統(tǒng)時(shí)，服務(wù)端存儲(chǔ)了上述Token和會(huì)話信息后會(huì)向客戶端下發(fā)以下圖示中的Token字段。

圖片

除了上面這張用戶登錄的情況，當(dāng)客戶端進(jìn)行Token信息的刷新時(shí)，這些Token字段也會(huì)更新并返回給客戶端，也就是說(shuō)刷新Token信息后除了AccessToken會(huì)更新外，RefreshToken也會(huì)刷新，用戶登錄態(tài)的可保持時(shí)間又往后延長(zhǎng)了一個(gè)新的周期。與此同時(shí)舊的RefreshToken我們并不會(huì)直接刪，而是設(shè)置延遲幾個(gè)小時(shí)刪除，為什么這么做呢？后面告訴你答案。我們先看一下Token刷新邏輯的實(shí)現(xiàn)。

Token刷新邏輯實(shí)現(xiàn)

我用下面這個(gè)順序圖說(shuō)明了整個(gè)Token刷新的邏輯。

圖片

大家把這張圖中描述的Token刷新邏輯好好地看一下，通過(guò)這張圖可以看出來(lái)，刷新邏輯與生成邏輯只有兩處不一樣：

總結(jié)

本節(jié)的代碼版本號(hào)為c11，加入項(xiàng)目后訪問(wèn) https://github.com/go-study-lab/go-mall/compare/c10...c11 能看本章節(jié)的詳細(xì)代碼。

Token的主要邏輯到這里就開(kāi)發(fā)完成了，接下來(lái)我們把它接入到用戶登錄的流程中去，另外現(xiàn)在的Token體系還不夠完善，因?yàn)閷?duì)于用戶登出、重置密碼等需要主動(dòng)過(guò)期Token和清除Session的邏輯我們還沒(méi)有覆蓋到，這些我們會(huì)在接下來(lái)的幾節(jié)中開(kāi)發(fā)相應(yīng)的功能時(shí)再去完善。