双 Token 认证机制
当前 remix-antd-admin 选择双 Token 认证机制,用于无感刷新
- token (access_token): 特点是时间窗口短。
- refresh_token: 用于刷新 token 的 refresh_token。
特点是:前后端需要配合
安全警告
双 Token 机制主要是无感刷新。用户体验相对较好。因为 Token 是无状态对外暴露的,安全性需要根据自己的项目进行判断做核实的处理。
命令行生成随机密钥
可使用 openssl 随机生成指定长度的密钥
sh
openssl rand --base64 16web crypto
WARNING
注意有些不支持特殊符号,需要转义
Session
除了基于 Token 的无状态方案,也有基于 Session 防范,但是 Session 更加适合 Web 方案,因为有些环境没有 Session + Cookies 环境。