Question

jwt中为啥用refresh_token去刷新access_token,直接把access_token的有效期设置长一点不行吗？

jwt一般都会有2个token，一个access_token和一个refresh_token,我看资料说，access_token是我们平时请求的时候携带的身份凭证，当access_token过期时，可以使用refresh_token来刷新access_token，access_token有效期短，refresh_token有效期长。我觉得这是不是多此一举，直接把access_token的有效期设置长一点不就好了，请问为啥他非得搞2个token呢？

Answer 1

access_token使用频率高，容易泄露，有效期风险就小。refresh_token使用频率低，泄露风险小。另外，不是必须要有两个token吧？

Answer 2

jwt包含了足够的信息，且可以由客户端自己验证是否有效，甚至极端情况下，服务端签发不需要存储它。
令牌就是token，简单说就是一个字符串，用户登录后，生成一个随机串作为key，value就是User对象信息，value存储在服务端，把token下发给客户端，但是客户端每次都要让服务端验证这个token是否有效。