为什么要用accessToken和refreshToken?
单token的缺点:
应该是假如黑客拿到了用户的token,在token有效期内,比如一个月或者是半年,可以长期使用该token来访问用户的信息;黑客和用户都是同一个token,服务器无法处理是用户正常访问还是黑客在访问。
如果是双token:
黑客拿到了accessToken1和refreshToken,用户使用中也有accessToken2和refreshToken,假如黑客accessToken1去访问,而服务器当前存储都是accessToken2,accessToken1和accessToken2不一致,可以结合IP(如accessToken1和accessToken2的过程IP不一致),服务器可以给用户提示有异常登录。可以更方便的做账号异常提醒和单点登录。
