JWT刷新token策略

SpringCloud的项目用JWT做身份验证，对于token过期时间的刷新策略整理如下图：

 

 

刷新策略

       在登录接口中返回两个token，一个是用来请求业务接口验证身份信息的accessToken，一个是过期后用来获取新的token的refreshToken，refreshToken中不携带权限等信息，因为不需要让refreshToken去请求业务接口，只用来获取新的token，refreshToken的过期时间相对长一些，accessToken的过期时间相对短一些，这一点根据自己的业务来定。

       当客户端用accessToken请求业务接口收到【证书过期】的时候，携带着refreshToken去请求【刷新token】的接口，该接口重新设置两个token的过期时间然后返回给客户端，注意：不要改变两个token中存放的信息，重新设置过期时间的代码如下： 

设置过期时间

获取JWT主体

    注意这里的setAllowedClockSkewSeconds方法，如果不设置这个时间，一旦你的token过期了，你在获取JWT主体的时候就会报错，JWT的源码如下：

JWT过期抛异常

         所以即使你的accessToken过期了，你也应该允许获取到主体的信息以方便刷新，setAllowedClockSkewSeconds的时间应该跟你的refreshToken的过期时间是一样的，此处也可以根据具体业务自行斟酌。