jwt token 过期刷新_替换JWT

问题：

为了安全，很多人都知道token长期保持不变不安全，通常会采取刷新token的机制。当是当下，很多刷新机制是为了刷新而刷新，常见的token刷新机制是：到期后刷新，或是提前刷新，或者定时刷新。如果token被盗，黑客和合法用户都可以通过刷新来获取新的token，这并没带来实际的安全提升。：

方案：

• 每个token有一个较长的有效期，比如90天，这个是为了满足长期登录的需求;

• 每个token有一个较短的刷新间隔，比如2个小时。常常更换token 提升安全性;

• 每当token刷新时，创建并颁发新的token，同时修改旧的token的有效期，比如60秒后过期，保证旧的token快速到期同时又短暂可用，(并发请求时，可能会用到旧token)

• 每当用户重新登录或是修改密码，删除token。

• 刷新token时，利用redis或mysql 的锁机制，确保并发请求时只有个请求刷到新的token。

• 服务器token处理逻辑：通过token在redis里获取用户数据，如果找不到则表示token失效或错误，要求用户再次登录。如果找到用户信息且token
  是2个小时内创建的，则不刷新token,
  如果token创建时间超过2个小时前，则创建新的token给用户，服务器复制用户数据到新的token，同时修改旧token 60秒后过期。

建议：

此方案，多数情况下只是对redis的读写操作，性能极高，在刷新token时，需要用到redis或MySQL的锁机制防止并发刷新，确保同一客户端一次刷新只有一个请求刷到新的token，由于刷新token操作间隔的时间较长，不是高频操作，对性能也影响不大，配合redis集群，足够应对海量用户。