JWT双token前端的存储及请求

什么是token：

token即为令牌，是服务器生成的一串字符串，作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回，之后的每次请求只需要携带token进行请求即可，而无需携带密码等敏感信息

什么是双token：

用户登录后，要在一段时间内的请求不用重新登录，APP端的这个时间很长多方面考虑可使用双token，用户端要缓存两个token，一个是access_token，一个是refresh_token。如果只使用一个token并把世界设置很长是有很大缺陷的。第一是为了安全，时间设置的过程，假如有有心人截取了这个用户的token，那就不太好了，所以不能设置太长，第二、双token机制能保证用户体验，如果是单token机制的话，每次token一过期，就会强制用户重新登录，假如用户正在编写文件，突然就要重新登录，那心态不炸了吗。每次access_token过期的时候，就是用户发起带token的请求会返回一个比如403的状态码，然后前端收到403就知道原来是access_token过期了，那就会发起一个带refresh_token的请求，然后后端就会返回新的双token，再缓存下来，然后继续执行用户原来的请求。
流程大致为：
1、用户在登录之后返回access_token和refresh_token（这里假定他们的有效期分别是2小时和7天）
2、当access_token未过期时，则请求正常
3、当access_token过期了，此时服务端会返回过期提示给到客户端，客户端收到过期提示后，使用refresh_token去获取新的access_token
4、refresh_token(此时他们的有效期就又变为2小时和7天，旧的自然失效)
5、当refresh_token也过期了，使用它去获取新access_token时服务端就会返回过期提示，那么此时就应该让用户重新登录了/
6、每次使用access_token时，都会更新refresh_token的有效期

APP端登录流程：

服务端处理token

**
     * JWT生成Token./>
     *
     * JWT构成: header, payload, signature
     *
     * @param user_id
     *            登录成功后用户user_id, 参数user_id不可传空
     */
    public static String createToken(Long user_id) throws Exception {
        Date iatDate = new Date();
        // expire time
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(calendarField, calendarInterval);
        Date expiresDate = nowTime.getTime();

        // header Map
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        // build token
        // param backups {iss:Service, aud:APP}
        String token = JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time
                .sign(Algorithm.HMAC256(SECRET)); // signature

        return token;
    }

    /**
     * 解密Token
     *
     * @param token
     * @return
     * @throws Exception
     */
    public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            // e.printStackTrace();
            // token 校验失败, 抛出Token验证非法异常
        }
        return jwt.getClaims();
    }

    /**
     * 根据Token获取user_id
     *
     * @param token
     * @return user_id
     */
    public static Long getAppUID(String token) {
        Map<String, Claim> claims = verifyToken(token);
        Claim user_id_claim = claims.get("user_id");
        if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
            // token 校验失败, 抛出Token验证非法异常
        }
        return Long.valueOf(user_id_claim.asString());
    }