Token 管理
云开发身份认证基于 Refresh Token 和 Access Token 双令牌机制实现用户会话管理。您可以灵活配置令牌过期策略和会话并发数,在安全性与用户体验之间取得最佳平衡。
配置参数说明
| 参数 | 默认值 | ��可配置范围 | 说明 |
|---|---|---|---|
| Refresh Token 有效期 | 30 天 | 1 小时 - 30 天 | 超过有效期后无法获取新 Access Token,需重新登录 |
| Access Token 有效期 | 2 小时 | 1 - 24 小时 | 过期后需使用 Refresh Token 换取新令牌,无需重新登录。 |
| 最大会话数 | 1 个 | 1 - 100 个 | 当会话数超过设定阈值时,系统将自动使最早的 Refresh Token 失效,有效防止账号滥用。 |
配置操作
前往 云开发平台/身份认证/Token 管理 调整您的令牌策略。
💡 提示:配置修改后立即生效,但不影响已颁发的令牌,只对新登录的用户生效。
最佳实践建议
-
管理类应用: 建议将 Access Token 有效期 设为
1 小时,最大会话数设为1,以降低令牌泄露风险。 -
内容/社交类应用: 建议延长 Refresh Token 至
30 天,提供无缝的长期登录体验。