@lusxh #12 你这句话完整复制给 AI 就有很详细的回复了，这里不赘述了

@Ketteiron 老哥说的很精准啊

@zuixinwenyue 都是 OAuth 协议标准的定义呀

@shakaraka 我不想问 ai ，我就想和同志们讨论下。要不然下午 6 点半才下班，时间太难熬了

一个 token 怎么让用户无感续签呢

Refresh Token 的存在，就是因为要验证其“续签 token 的合法性和合理性” 你可以把 Refresh Token ，看成是自动重新登录的“用户名+密码”。 当 token 对应的账户被封禁、密码修改等操作时，对应的 Refresh Token 也会同时作废。也就是当前用户的操作权限也就到这个 token 生命周期结束为止。 至于说为什么自动登录不使用用户名+密码作为参数。 因为，用户名+密码是最高级别的用户信息，不应该被保存和频繁录入、传输。

至于说，为何不每次请求都验证 token 对应的用户合法性，这是基于性能的妥协。

btw：JWT 是一种 token 的实现形式。 和“是否采用双 Token”、“是否遵循 OAuth 2.0”等话题风马牛不相及。 所以，“ jwt 续签为什么要使用双 token”严格来讲是个错误命题。

这是一个球疼怪子弹的问题

如果只有一个 accessToken ，快到期了，用户前几秒还在填信息，下一秒点提交跳登录页。。。What the fuck!!!