请问有没有必要做一个刷新 token 过期时间的接口,如果有必要,必要的理由是?
目前的做法是每次验证 token 时,如果 token 有效且未过期就会更新 token 时间。
这个取决于你的业务是否需要,没有必要一说.
例如某些业务中需要token作为凭证,token的有效次数只有一次(用完就销毁,下次需要申请新的),那么这个就不用.如果你的token是可以重复利用的,那么就需要.
RubyChina的token就是24小时过期,这时需要用refresh_token来重新获取token。
我使用token的方式类似于session的机制, app用户登陆后server分配一个token, 假设过期时间30分钟, 如果30分钟内没有操作,token就会过期。
如果过期之前有操作就自动更新token过期时间, 不需要app请求一个专门刷新token的接口。
不知道app token鉴权方式的最佳实践应该怎么做呢
楼主参考 OAuth2 的标准实现即可,对你的需求来说最精准了。