WEB安全（十二）token的续签问题-即动态刷新token，避免用户经常重新登录

token有效期一般都设置得很短，那么token过期后如何动态刷新token，避免用户经常重新登录呢？

来看个具体需求：

超过2个小时后，用户没有请求，则需要重新登录。

这个需求一般有两种实现方式。

方式一每次请求都返回新 token

假设一个 token 的签发时间为 12:00，需求为 2h 未进行请求即过期。则设置有效期 2h,那么每次请求都会把一个 token 换成一个新 token。如果 2h 没有进行请求，那么上一次请求的到的 token 就会过期，需要重新登录。不断签就能一直使用下去。

这种方式实现思路很简单，但开销比较大。

问题一：每次都刷新 token，带来的性能影响如何？

以前每次请求，需要进行一次 token 签名校验，而现在是要签发一个新 token，进行的都是一次签名运算，那么运算量即从 n 变成 2n。

其次，每次刷新都要把旧 token 加入黑名单，会导致黑名单特别大。

问题二：每次都刷新 token，并发请求时会不会因为 token 刷新而导致只有一个请求成功？

答案是确实会导致这个问题，怎么解决呢？设置一个宽限时间，每次 token 刷新后，原来逻辑应该是立刻不可用，现在设置一个宽限时间，让其在 n 秒之内仍然可用即可。

方式二用户登录返回两个 token

第一个是 accessToken ，它的过期时间 token 本身的过期时间2个小时，另外一个是 refreshToken 它的过期时间更长一点比如为1天。客户端登录后，将 accessToken和refreshToken 保存在本地，每次访问将 accessToken 传给服务端。服务端校验 accessToken 的有效性，如果过期的话，就将 refreshToken 传给服务端。如果有效，服务端就生成新的 accessToken 给客户端。否则，客户端就重新登录即可。

该方案的不足是：

1、需要客户端来配合；

2、用户注销的时候需要同时保证两个 token 都无效；

3、重新请求获取 token 的过程中会有短暂 token 不可用的情况（可以通过在客户端设置定时器，当accessToken 快过期的时候，提前去通过 refreshToken 获取新的accessToken）