refresh token 如何增加后端安全性呢?
根据refresh token 的实现,它只在每次登陆的时候才会返回。从请求频率的上减少了暴露的可能性(减少了登录接口请求次数)。一般refresh token的有效期很长。
那跟它相比的是什么呢,是只使用token登陆,考虑两种情况
- 有效期较长或永久有效的token(非常不安全),没有登出或长时间不登出的话,其他用户可以在这个期间进行操作
- 请求多次有效期相对较短的token,这样增加了登陆的次数。对用户非常不方便。
所以refresh token 既减少了登录的次数,又实现了自动刷新token, 减少了用户的操作。主要安全性增强的方面就是在减少登录上。
