JWT token过期自动续期

前言

越来越多的项目放弃使用传统的session方案，而使用token与后端交互（特别是App项目）。

实现

1.登录成功，后端返回access_token和refresh_token，客户端缓存这两种token；
2.客户端使用access_token请求接口资源，若token过期，客户端需使用refresh_token请求刷新token接口刷新token；
3.后端接收到refresh_token刷新请求后，验证refresh_token是否过期。
若过期，拒绝刷新，客户端收到状态后，跳转到登录页；
若未过期，生成新的access_token和refresh_token返回给客户端，客户端缓存新的token，并使用新的access_token重新请求之前的接口。
4.用户退出登录和修改密码时，应该调用后端接口使access_token和refresh_token过期。
注：
1.服务端应实现可根据手机号删除所有token和根据设备删除某个token(手机丢失时)，如：Redis的key为手机号:设备唯一标识:access_token/refresh_token
2.服务端应避免频繁刷新token，如：做登录日志及token刷新日志，可使用MySQL或Mongodb