访问令牌的逻辑

Question

我正在学习从移动应用发出 API 请求。

我正在使用的 API，在发出登录请求时返回 access_token、expires_in 和 refresh_token。

我试图了解访问令牌想法背后的整个逻辑，一直在寻找整个互联网，找不到一个好的例子，也找不到一个好的解释。

据我所知，

发出 API 请求的最佳方法是：

1) 在设备内部存储 expires_in 2）在每个请求首先检查令牌是否过期 3) 如果是，则使用刷新令牌请求一个新令牌 4) 否则提出请求

是这样吗？

Answer 1

您的流程基本正确。
如果是 JWT 令牌，则可以对其进行解码。在里面你可以找到一些属性，检查here。
您可以做的是使用令牌的iat 属性，这包含令牌的发布时间（您不能依赖从 WS 收到的日期）将到期时间添加到该日期，这将是有效期。
如果您使用 Alamofire 非常简单，有两种协议：

• RequestAdapter
• RequestRetrier

结合使用两者可以轻松刷新令牌，在请求适配器中如果令牌过期可以抛出错误，在重试器中可以拦截此特定错误并发出刷新令牌请求。
这是解释here。