使用JWT进行登录认证的一些问题

我的做法是这样的：

1. 在拦截器中每次校验token的过期时间，如果token快要过期（设置一个合理的时间，防止页面多个ajax请求导致现有token过期，比如三分钟。此处我个人猜测跟微信的那个token类似，就是每次你获取新的token后，旧的的token还有一定的缓冲期），则颁发新的token。

2. 前端我这边用的angularJs，前端http拦截器中获取每次检测是否颁发了新的token，如果颁发了的话，则替换旧的。

检测token时间过期比较简单，后端代码就不放了
前端代码如下：

.factory('authInterceptor', function($q, $rootScope, userService) {
    return {
        request : function(config) {
            config.headers = config.headers || {};
            //设置认证token
            config.headers.Authorization = userService.getCode();

            return config;
        },

        response : function(response) {
            if(response.status == 401 || (response.data && response.data.code == 401)) {
                $rootScope.$emit('userIntercepted', 'notLogin', response);
                return;
            }
            
            //检测到新的token，则替换新的token
            if(response.headers('token')) {
                userService.putCode(response.headers('token'));
            }

            return response;
        },

        responseError : function(rejection) {
            if(rejection.status == 401 || (rejection.data && rejection.data.code == 401)) {
                $rootScope.$emit('userIntercepted', 'notLogin', rejection);
                return;
            }

            return $q.reject(rejection);
        }
    }
})

1. 未过期，用户退出登陆，一般就是清除cookie。大部分时候都是这么做的。

2. 如果你设定了一个cookie有效时长为T，而且一定要从用户的最后一次操作算起，如果T长的时间没有操作，就过期。如果是这样的需求的话，就只能在每个用户动作在服务器上重新更新cookie有效期。 别无他法。

你这个问题是很疑惑，但是通常很少遇到。 因为时间是多长呢。 如果有效期是N天的那种，这个问题就很少出现了。 如果是30分钟之类的短有效期，又为何不考虑使用会话级别的呢。 关闭浏览器时失效，不关闭就不失效的方式。

1. 删除token，具体而言就是cookie或者local storage

2. 提供三个思路供参考：

   1. 每次合法的访问延长token有效期，也就是每次下发新token，但这样解决不了这个场景：从第一次登录的大约T天内有效

   2. 如果是天级别的token，将失效时间设置到凌晨，可以在很大程度上避免用户操作时token失效的情形

   3. 复杂一点的，如果某次请求中token快要到期，才更新token，延长的时间大致能允许用户完成这次操作