需求是要求前端研究一下如何给登录认证自动续期

恰好最近找了下双 token 的资料，但感觉和这个楼里面说的不太一样……refreshtoken 是给终端用的吗？

@lambdaq chrome 对跨域 cookie 的限制已经越来越多了，除非不提供对外服务，不然使用 token 是必然的。

@javalaw2010 #3 word 哥，没有什么是绝对的。refresh_token 能不能放在 cookie 里且 HttpOny ？如果可以是不是更科学是不是需要后端处理？

@yeqizhang #21 理论上 ttl 长的的 refresh _token 应该被放在 httpOnly 的 cookie 里，access_token 放在 localstorage 里面，但是实践中很多时候 access_token 和 refresh_token 都放在了 localstorage 里了。这两种实现方式都是双 token ，后者前后端分离更友好点。

@javalaw2010 Refresh 接口不就是后端写的 怎么就纯前端了

@accelerator1 限制是多，难不成比 Authentication 头还多？

纯前端方法每晚偷偷调用登录接口更新 token 参考某公司车机清积碳功能

@yeqizhang 和终端没关系, 任意客户端(app, 浏览器, 甚至服务端也是客户端(相对于别人的服务))



// 上个伪代码
var tokenCache, refreshCache


beforeMiddleware = func(req) {
----req.headers.set('token', tokenCache.get())
}
afterMiddleware = func (req, resp) {
----// 内部统一或者三方服务的公共状态码
---- if resp.statusCode == 401 {
--------// 上锁, 防止其他请求用到过期的 token, 也可以不锁, 看需求
--------tokenCache.lock()
--------resp = http.withOutMiddleware().post(refreshTokenUrl, {"token": refreshCache.get()})
--------refreshCache.set(resp.getRefreshToken())
--------tokenCache.unlock()
----}
}

http.addMiddleware(beforeMiddleware , afterMiddleware)
http.get(api)

那就双话事人咯

token 时间给长点，比什么都好使。

@skiy 国内大部分厂商都是验证 active-timeout 的，超过这个时间不活跃或者 token 过期就要求重新登录。

accessToken refreshToken

今年新項目有完成這個功能 全公司也沒人理解我在寫什麼 真搞笑

我司用的是 accessToken refreshToken