在 OAuth2 认证授权流程中,访问令牌(Access Token)和刷新令牌(Refresh Token)的有效期存在明确区别,主要体现在用途、安全策略和生命周期设计上:
访问令牌(Access Token)
用途:用于直接访问受保护的 API 资源,是客户端请求资源服务器时的 "通行证"。
有效期特点:
通常设置较短(示例中为43200秒,即 12 小时)。
短期有效的设计是为了降低令牌被盗用后的风险(即使泄露,有效期窗口小)。
过期处理:过期后无法再用于访问资源,必须通过刷新令牌重新获取新的访问令牌。
刷新令牌(Refresh Token)
用途:当访问令牌过期时,用于向认证服务器申请新的访问令牌(无需用户重新登录)。
有效期特点:
通常设置较长(示例中为2592000秒,即 30 天)。
长期有效是为了在用户不频繁操作的情况下,保持客户端的持续授权状态,提升用户体验。
过期处理:过期后需要用户重新进行认证(如输入账号密码)才能获取新的令牌对。
核心区别总结
示例中,访问令牌 12 小时过期,而刷新令牌 30 天过期,这种设计既保证了日常访问的安全性,又减少了用户频繁登录的麻烦。
