收到

节哀

把工资要回来！

@edcopclub 两个 token 要泄露都会泄露

@fun201108 都是 httponly 有什么问题？

@anchors 你认真的吗？

蹲一个答案 我也打算给父母换手机;

@SethShi oauth2.0 是提供授权码，最后用授权码换回来的就是双 token 。

网上说什么的都有 有说是为了让用户无感续签，之前做的项目是有状态的 每次用户请求进来都会给 token 续期。我之前面试也被问过这个问题 我回答的就是用户带 token 进来验证成功就续期一下 现在想起来问的应该是双 token 。但是我理解使用双 token 不是为了续签，更是为了追求性能+用户可控性一个折中的方案；

@zuixinwenyue
先说一些传统的 token 模式有状态和无状态
1.有状态：cookie 或者 uuid 生成一个 token 放请求头里，这些都属于有状态。服务侧缓存 token 信息
2.无状态: jwt 本身就带了 token 的信息&用户信息;

分析一下痛点，可能举例不完善:

有状态： 每次请求进来需要查询缓存啊 or 数据库，影响性能
可以做判断 token 是否存在啊 用户是否登录过期啊 用户有没有被禁用 也可以做到用户信息发生修改 踢用户下线之类的操作 只允许一端登录啊。可控性非常大;

无状态: 无状态的话就不需要查询数据库了，从性能来讲肯定是比有状态要好的，服务侧拿到只需要验签就可以。
缺点也很明显，上面说到有状态能做的都不行

双 token 我自己感觉是折中了一下 在需要性能+用户可控方面折中，一般来讲 accessToken 是无状态的用于快速验证 过期时间较短，refreshToken 是有状态 用于判断用户信息之类的操作 过期时间较长。这样就可以在性能和用户可控方面折中啦。
以上是我的浅见

@zuixinwenyue 没想到拍了回车就回复了

只是表示讨论，国内好多大厂对外开放的 api 都是双 token 模式，肯定是有一定优势的，我说一下我自己的理解吧。

平时都是用 idea 新建文件直接就已经 add 了，如果用命令的话，我都是直接 add ./ 。真没有使用命令去 add 单独的文件，我觉得这个无所谓吧 只要协作没有问题就可以了

开源项目是给技术人员看的，认识不一定会懂。而且技术人员也不会去看你开源项目的细节

别太敏感了，一场面试而已

正常

亲弟还说啥啊

，，，闲的

想参与，不知道缺什么