只是表示讨论，国内好多大厂对外开放的 api 都是双 token 模式，肯定是有一定优势的，我说一下我自己的理解吧。

@zuixinwenyue 没想到拍了回车就回复了

@shakaraka 只是为了减轻数据库的压力吗？两个 token 都可以不查数据库么。

@yeqizhang 确实看到很多地方讨论这个问题，说什么的都有，面试有时候也被问到，随便几句就敷衍过去了，就是不自信，感觉没有触及到深处

@zuixinwenyue 先说一些传统的 token 模式有状态和无状态 1.有状态：cookie 或者 uuid 生成一个 token 放请求头里，这些都属于有状态。服务侧缓存 token 信息 2.无状态: jwt 本身就带了 token 的信息&用户信息; 分析一下痛点，可能举例不完善: 有状态： 每次请求进来需要查询缓存啊 or 数据库，影响性能 可以做判断 token 是否存在啊 用户是否登录过期啊 用户有没有被禁用 也可以做到用户信息发生修改 踢用户下线之类的操作 只允许一端登录啊。可控性非常大; 无状态: 无状态的话就不需要查询数据库了，从性能来讲肯定是比有状态要好的，服务侧拿到只需要验签就可以。 缺点也很明显，上面说到有状态能做的都不行 双 token 我自己感觉是折中了一下 在需要性能+用户可控方面折中，一般来讲 accessToken 是无状态的用于快速验证 过期时间较短，refreshToken 是有状态 用于判断用户信息之类的操作 过期时间较长。这样就可以在性能和用户可控方面折中啦。 以上是我的浅见

提一嘴. JWT 没有双 token, 它只定义了 token 的格式 楼上说的国内大厂的那种是 OAuth 2.0 至于你要问的问题, 楼上的答案都差不多了, 当然不排除很多人是“为了遵守协议（ OAuth2 ）”而盲目使用双 Token

网上说什么的都有 有说是为了让用户无感续签，之前做的项目是有状态的 每次用户请求进来都会给 token 续期。我之前面试也被问过这个问题 我回答的就是用户带 token 进来验证成功就续期一下 现在想起来问的应该是双 token 。但是我理解使用双 token 不是为了续签，更是为了追求性能+用户可控性一个折中的方案；

@SethShi oauth2.0 是提供授权码，最后用授权码换回来的就是双 token 。

@yeqizhang #9 标准结论一直都有啊，用不用 jwt 只看需不需要 jwt 。 jwt 实际上是拿 cpu 解密开销换取数据库查询开销，为了安全性可能会双 token(15 分钟危险期) or 单 token+redis(秒级封禁)。除此之外有非常多的组合方法，但各有侧重点没有高下之分，软件开发不存在通用最优解。

看了下，access token 只需要校验 token 是否有效，无需外部依赖查询。Refresh Token 分发 Access Token 时，需要额外查询，比如用户是否被禁用， 权限是否发生变更，账号是否被封。 在性能和可控当中，做这个折衷选择