devise_token_auth文档说:“每次向API请求后,令牌都应失效。”https://github.com/lynndylanhurley/devise_token_auth/blob/master/docs/conceptual.md#about-token-management
但是为什么呢?如果每次请求后令牌都没有失效,会有什么风险?例如,如果令牌在请求后一两分钟内有效,该怎么办?或者,如果令牌在一个或两个星期内保持有效?
devise_token_auth生成的令牌是凭证令牌:它汇总您的登录名和密码;因此,只有这个字符串,您才能在自己的应用中识别自己的身份。
为了最安全,您必须尽可能快地使此令牌无效:只要该令牌有效,就可以有人使用它来访问您的珍贵培根。
根据用户的每个请求使令牌失效很容易:每次与您交谈时,您都会给您当前的令牌,当您回答时,您会给我一个新的令牌,使我可以继续与您交谈。] >
但是使用另一种机制会花费您:每次与您交谈时,我都会给您我的令牌,您必须进行计算(=> CPU),以检查自从我上次与您交谈以来有多长时间(因此您还必须存储(=>内存)该信息)。
这是我对原因的理解