access_token這個自動過期了。 refresh_token是自動生成新的access_token返回給前端？ 還是說要后端邏輯去處理。 就是這兩個參數(shù)沒懂清楚原理

如果 access_token 自動過期了，前端直接使用 refresh_token請求接口重新獲取 access_token 。如果 refresh_token也過期了，則直接退出登錄，讓用戶重新登錄即可

• access_token 有效期一般設置為7小時
• refresh_token 有效期一般設置為一周

access_token和refresh_token 過期了。是不是這兩個參數(shù)的值自動為空了。還是？ 請大神解答

會拋出 JwtTokenException 異常，異常信息是：身份驗證會話已過期，請重新登錄！

那如果用戶在用app的時候，access_token和refresh_token同時過期的話，那不意味著這個用戶被強制性退出來 ？

是的，強制退出，重新登錄，如果你不想這樣子，那就設置過期時間很長很長，不過會存在安全問題

我的想法是在刷新token的時候除了返回access_token之外還返回refrsh_token，那樣的話就不會出現(xiàn)用戶用著用著，突然被強制性退出來了

大佬，這邊刷新token的時候返回參數(shù)不能加一個refrsh_token值嗎，還是說加了存在安全隱患，我公司前端這邊的人希望在刷新token的時候，除了返回access_token，還希望返回refrsh_token，這樣的話，用戶就不可能被強制退出來，作者你所說的把過期時間設置很長這顯然不合理

你的這個是不是不符合邏輯，標準的JTW機制基本都是上面這種方式實現(xiàn)。你可以吧refrsh_token設置的足夠長就可以了

對，我后臺將access_token設置7天，refrsh_token設置1個月，那在refrsh_token快要過期的時候，用戶正在使用app，首先，access_token過期了，去找refrsh_token刷新access_token，又正好這時候refrsh_token也過期了，那這用戶的app用著用著，就直接被彈出來了說你要登錄，那這也不合理吧，我們在使用微信，支付寶等app的時候，出現(xiàn)過被強制退出來的情況嗎，也沒有吧

感謝反饋

這個生成的access_token 是存儲在哪里，redis還是

不需要存儲

在用戶登錄的時候，返回access_token和refrsh_token，access_token的過期時間我設置1天，refrsh_token的過期時間我設置7天，只要用戶在使用app的時候，access_token一過期，就可以用refrsh_token刷新access_token，那我想說的是，如果用戶在使用app的時候，正好在refrsh_token快過期的時候使用app，第一，access_token過期，去找refrsh_token，而這時候refrsh_token也正好過期了，那這個用戶的app就直接被彈出來說你要登錄，一個用戶用app好好的，怎么可能被強制彈出來說要登錄呢，我希望這個被強制彈出來登錄的情況不存在，也就是之前我所說的，在用refrsh_token刷新access_token的時候，除了返回access_token的同時，還希望返回refrsh_token，那么無論這兩個token的過期時間設多久，都不會出現(xiàn)被強制退出來登錄的情況

收到，晚點發(fā)個版本添加上去哈！

好，但是如果這么搞不合理的話你就直接說，比如安全，比如性能等等都可以說，大家都在研究，都在學習