网页游戏， websocket 通信，一般怎么处理用户认证？

@Mutoo

喔，有点恍然大悟的感觉，感谢！
以往我以为都是只生成一个 token 。如果是按照你的说法有 access 和 refresh 两个 token，再进行配置短命的 access token，配置 refresh token 里的最新修改密码时间的确可以办到踢下线，不过感觉这样好像没办法做到立即踢下线的效果。。

@aaronlam 玩家修改密码的时候，给后端一个消息。后端收到消息查看是一玩家是否有连接，有的话发个下线协议，然后主动断开 socket 即可。完全后端可控，不需要前端参与。前端下线后原有的 refresh token 根据上述业务逻辑就自动失效了，需要重新登录。

@Mutoo 再次感谢！