一、为什么需要双token机制？

传统单token认证存在两大痛点：有效期管理与安全性平衡。短期有效的token（如JWT）需频繁刷新，影响用户体验；长期有效的token则存在泄露风险。双token机制通过拆分权限与身份验证，实现了安全性与便利性的平衡。

1.1 核心设计思想

• Access Token：短期有效（如15分钟），携带用户权限信息，用于API调用验证
• Refresh Token：长期有效（如30天），仅用于获取新的Access Token，不包含权限信息

典型交互流程：

1. 用户登录后获取双token
2. 每次API调用携带Access Token
3. Access Token过期时，客户端自动使用Refresh Token获取新token
4. Refresh Token失效时要求重新登录

1.2 适用场景分析

• 移动端应用：减少用户手动登录次数
• 高频API服务：避免因token过期导致服务中断
• 安全敏感系统：通过Refresh Token的严格管控降低泄露风险

二、双token机制实现详解

2.1 服务端实现要点

2.1.1 数据库设计

CREATE TABLE user_tokens (
    id BIGSERIAL PRIMARY KEY,
    user_id BIGINT NOT NULL REFERENCES users(id),
    refresh_token VARCHAR(255) NOT NULL UNIQUE,
    expires_at TIMESTAMP NOT NULL,
    device_info JSONB  -- 记录设备指纹等信息
);

2.1.2 核心逻辑实现（Node.js示例）

// 生成双token
async function generateTokens(userId) {
    const accessToken = jwt.sign(
        { userId, role: 'user' }, 
        ACCESS_SECRET, 
        { expiresIn: '15m' }
    );
    const refreshToken = crypto.randomBytes(32).toString('hex');
    await db.query(
        'INSERT INTO user_tokens(user_id, refresh_token, expires_at) VALUES($1, $2, $3)',
        [userId, refreshToken, new Date(Date.now() + 30 * 24 * 60 * 60 * 1000)]
    );
    return { accessToken, refreshToken };
}
// 刷新token
async function refreshTokens(refreshToken) {
    const storedToken = await db.query(
        'SELECT * FROM user_tokens WHERE refresh_token = $1',
        [refreshToken]
    );
    if (!storedToken || storedToken.expires_at < new Date()) {
        throw new Error('Invalid refresh token');
    }
    return generateTokens(storedToken.user_id);
}

2.2 客户端实现要点

2.2.1 存储策略

• HttpOnly Cookie：Refresh Token建议存储在HttpOnly Cookie中，防止XSS攻击
• 内存存储：Access Token可存储在内存或安全存储中
• 设备绑定：建议将Refresh Token与设备指纹绑定

2.2.2 刷新逻辑实现（React示例）

const authApi = {
    async callApi(endpoint, options) {
        try {
            const response = await fetch(endpoint, {
                ...options,
                headers: {
                    'Authorization': `Bearer ${localStorage.getItem('accessToken')}`
                }
            });
            if (response.status === 401) {
                await this.refreshToken();
                return this.callApi(endpoint, options); // 重试
            }
            return response;
        } catch (error) {
            if (error.message.includes('invalid_token')) {
                await this.refreshToken();
                return this.callApi(endpoint, options); // 重试
            }
            throw error;
        }
    },
    async refreshToken() {
        const refreshToken = await getRefreshToken(); // 从Cookie获取
        const response = await fetch('/api/refresh', {
            method: 'POST',
            body: JSON.stringify({ refreshToken })
        });
        if (response.ok) {
            const data = await response.json();
            localStorage.setItem('accessToken', data.accessToken);
        } else {
            // 处理刷新失败，跳转登录
            window.location.href = '/login';
        }
    }
};

三、无感刷新实现技巧

3.1 前端优化策略

3.1.1 提前刷新机制

// 检查token剩余有效期
function checkTokenExpiration() {
    const token = localStorage.getItem('accessToken');
    if (!token) return false;
    const decoded = jwtDecode(token);
    const expiry = decoded.exp * 1000; // 转换为毫秒
    const bufferTime = 5 * 60 * 1000; // 提前5分钟刷新
    return expiry - Date.now() < bufferTime;
}
// 在应用初始化时检查
if (checkTokenExpiration()) {
    authApi.refreshToken();
}

3.1.2 请求队列管理

let isRefreshing = false;
let subscribers = [];
async function refreshToken() {
    if (isRefreshing) {
        return new Promise(resolve => {
            subscribers.push(resolve);
        });
    }
    isRefreshing = true;
    try {
        const response = await fetch('/api/refresh', {
            method: 'POST',
            credentials: 'include' // 获取Cookie中的refreshToken
        });
        const data = await response.json();
        localStorage.setItem('accessToken', data.accessToken);
        // 通知所有等待的请求
        subscribers.forEach(resolve => resolve(data.accessToken));
        subscribers = [];
        return data.accessToken;
    } finally {
        isRefreshing = false;
    }
}

3.2 后端安全增强

3.2.1 Refresh Token管理

• 一次性使用：刷新后立即使旧Refresh Token失效
• 设备绑定：限制每个设备只能有一个有效Refresh Token
• IP限制：记录颁发IP，异常IP请求时要求二次验证

3.2.2 防重放攻击

// 在JWT中添加jti(JWT ID)和iat(颁发时间)
const accessToken = jwt.sign(
    { 
        userId, 
        role: 'user',
        jti: crypto.randomBytes(16).toString('hex'),
        iat: Math.floor(Date.now() / 1000)
    }, 
    ACCESS_SECRET, 
    { expiresIn: '15m' }
);
// 存储已使用的jti防止重放
const usedJtis = new Set();
// 中间件验证
function validateJwt(req, res, next) {
    const token = req.headers.authorization?.split(' ')[1];
    if (!token) return res.status(401).send('Unauthorized');
    try {
        const decoded = jwt.verify(token, ACCESS_SECRET);
        if (usedJtis.has(decoded.jti)) {
            return res.status(401).send('Token reused');
        }
        usedJtis.add(decoded.jti);
        req.user = decoded;
        next();
    } catch (error) {
        res.status(401).send('Invalid token');
    }
}

四、常见问题与解决方案

4.1 多标签页同步问题

解决方案：使用BroadcastChannel API实现标签页间通信

// 在刷新token的标签页
const channel = new BroadcastChannel('auth_channel');
channel.postMessage({ type: 'token_refreshed', newToken: 'xxx' });
// 在其他标签页
const channel = new BroadcastChannel('auth_channel');
channel.onmessage = (event) => {
    if (event.data.type === 'token_refreshed') {
        localStorage.setItem('accessToken', event.data.newToken);
    }
};

4.2 移动端网络不稳定处理

优化策略：

1. 实现指数退避重试机制
2. 本地缓存失败请求，网络恢复后重试
3. 提供离线模式支持

4.3 安全审计建议

1. 定期轮换加密密钥
2. 监控异常刷新行为（如短时间内大量刷新请求）
3. 记录完整的认证日志

五、性能优化实践

5.1 减少token大小

• 使用HS256算法而非RS256（小1/3体积）
• 精简token中的claims（仅保留必要信息）
• 考虑使用PASETO等现代替代方案

5.2 缓存策略优化

// 服务端缓存最近使用的access token
const tokenCache = new LRUCache({ max: 1000, maxAge: 1000 * 60 * 5 }); // 5分钟缓存
app.get('/api/data', (req, res) => {
    const token = req.headers.authorization?.split(' ')[1];
    if (tokenCache.has(token)) {
        // 从缓存获取用户信息
        return res.json(tokenCache.get(token));
    }
    // 正常验证流程...
});

5.3 监控指标建议

1. 刷新成功率
2. 平均刷新延迟
3. token过期导致的401错误率
4. 异常刷新请求比例

六、进阶实践：动态token有效期

6.1 基于风险的动态调整

function calculateTokenExpiry(userId) {
    // 根据用户风险等级调整
    const riskLevel = await getUserRiskLevel(userId);
    switch(riskLevel) {
        case 'high': return '5m';
        case 'medium': return '15m';
        case 'low': return '1h';
        default: return '15m';
    }
}

6.2 基于行为的动态刷新

// 在API网关层记录请求模式
const userBehavior = {
    lastActive: Date.now(),
    requestCount: 0
};
// 动态决定是否需要提前刷新
function shouldEarlyRefresh(userId) {
    const behavior = getUserBehavior(userId);
    return behavior.requestCount > 50 && 
           (Date.now() - behavior.lastActive) < 30 * 60 * 1000;
}

七、总结与最佳实践

1. 安全优先：Refresh Token必须严格管控，建议存储在HttpOnly Cookie中
2. 用户体验：实现无感刷新，但需处理各种边界情况
3. 可观测性：建立完善的监控体系，及时发现异常
4. 渐进式增强：根据业务需求逐步实现高级功能
5. 文档规范：明确token的有效期策略和刷新规则

通过双token机制与无感刷新实现，可以在保证系统安全性的同时，显著提升用户体验。实际开发中应根据具体业务场景调整实现细节，并持续监控优化认证流程。