登录时后端返回 token 和 refresh_token 以及 token 的过期时间(秒)给到前端,前端的请求只携带 token,但 token 有自己的有效期,比如 12 小时后过期无效。

用户在请求接口时,在原 token 过期时间到来之前,前端请求一次 refresh token 的接口,后端返回给前端新的 token,后续请求就换成此 token。即用旧的 token 来换新的 token,refresh_token 的作用并不是当作 token 来用,而是作为刷新 token 的凭据,一般后端还需要验证 client id 以及 client secret 来判断 refresh token 的有效性。