即每次刷新后服务端根据用户身份信息生成一个密文保存在客户端,平时业务请求用不上,只有刷新时才带上,同样能降低被网络嗅探的风险。这在安全性方面不就和长令牌一样么,逻辑更简单还省开销(你完全不需要通过发短token被拒来发现自己的短token过期,这是完全不必要的通信开销),服务端也不用为了长短令牌再增加一套jwt...
然后网上还看到一种长短令牌的策略,大意是登陆成功后生成一长一短(过期时间长短不同)两个token,如果短的过期而长的没过期,就调用刷新令牌的接口,用长令牌当token去重新获取一对长短token。感觉很画蛇添足。你客户端是能拿到jwt的过期时间的,自己判断一下距离过期还有多久不就行了吗?但“科普”这策略的博文也有好...
使用Spring Boot + Spring Security + JWT 实现用户登录验证示列,包含权限管理和 Token 刷新功能、心跳机制。 - yifanzheng/spring-security-jwt