我最近使用身份验证和刷新令牌实现了一些身份验证。我知道,如果身份验证令牌过期,它会使用刷新令牌自动从身份验证服务获取新的令牌。但是,根据我的理解,刷新令牌最终会过期并使用户退出应用程序。
但是,我没有看到很多应用程序会在很长一段时间后注销用户,并且它们只需要登录一次,并且除非手动按下“注销”按钮,否则不会注销用户)。他们可能不会使用刷新令牌作为会话管理,但我想知道如果他们使用刷新令牌,他们会如何做到这一点以及正确的方法是什么?
我只能想到几个原因:
据我了解,刷新令牌与身份验证令牌成对使用,可以提高用户体验,因为不需要频繁的重新身份验证。身份验证和刷新令牌之间的区别是:
身份验证令牌:更短过期时间(5 - 30 分钟内,取决于设置)
刷新token:更长过期时间(可能是几天或者以月为单位)
这些代币的一般机制。