双 Token 机制解析：提升用户体验的安全认证方案

双 Token 机制解析：提升用户体验的安全认证方案

在现代 Web 与移动应用中，“安全”与“用户体验”往往存在天然冲突：

• Token 有效期太短 → 用户频繁掉线、体验差

• Token 有效期太长 → 安全风险高，容易被盗用

双 Token（Access Token + Refresh Token）机制正是为了解决这一矛盾，是当前最主流、最均衡、最安全的身份认证方案。

本文将从基础概念、完整流程、对比分析、安全设计，再到 Java 实战示例，提供一套可直接落地的生产级解决方案。

一、双 Token 基本概念

双 Token 机制包含两个角色：

1. Access Token（访问令牌）

• 作用：访问受保护资源的凭证

• 特点：

  • 生命周期短（10–30 分钟）

  • 每次 API 调用都必须携带

  • 一旦泄漏风险较低（短期有效）

• 适合存储位置：内存、localStorage、sessionStorage

2. Refresh Token（刷新令牌）

• 作用：用于换取新的 Access Token

• 特点：

  • 生命周期长（7–30 天）

  • 不直接访问资源，只能用于“刷新”

  • 必须安全存储，需可撤销

• 推荐存储位置：HttpOnly Cookie（防 XSS）

二、双 Token 工作原理

认证流程图：

完整流程说明

1. 初始登录：生成双 Token

前端提交账号密码 → 服务端验证 → 返回：

• Access Token（短期）

• Refresh Token（长期、一般放在 HttpOnly Cookie）

2. 每次访问 API

请求头携带：

Authorization: Bearer <access_token>

3. Access Token 过期时

后台流程：

1. 服务器返回 401（Token 过期）

2. 前端使用 Refresh Token 调用/refresh接口

3. 服务端生成新的 Access Token

4. 前端自动重试原请求

5. 用户完全无感知

4. Refresh Token 过期

用户被要求重新登录。

三、为什么单 Token 机制不够？

下面是单 Token 在实际场景中的痛点：