1、登录时续期token和refresh token

token作为访问令牌需要时效性，一般有效期比较短，比如半个小时，防止别人截获；refresh token作为刷新令牌有效期可以比较长，比如7天，发现token过期，就需要用refresh token去获取新的token，那这7天就可以实现免登录，同样也保证7天内需要人工登录一次。这个refresh token的过期时间才是真正的最终有效时间。

⽅案⼆：后端存储判断过期时间

2、JWT令牌token泄露恶意使⽤