app 长期只需要登录一次不过期这样真的安全吗？

那你拿到淘宝拼多多的 token 去下单了吗

现在好多 APP 都强制扫码登陆，本来网页端登录好好的，都要扫码，宣传上宣传扫码“安全”

有支付密码啊

我看过比密码的生命周期还长的 token

用户改了密码, 旧 token 还有效.

设计文件中明确写上了这点.

下单随便下 你付款还能随便付？

所以支付宝宣称丢手机包赔，当然真的因为丢手机被盗刷赔没配咱就不知道了

token 泄露了顶多让你看看订单记录，下单是不可能的，会让你输入支付密码的。

token 会定期刷新让你不过期的错觉 ,并不是不过期

不仅一个 token 吧，好多设备信息和设备相关签名的，你换了设备来请求还是能识别出来的吧

你能下单有啥用，付款的时候还是要指纹或者面容 id 才行

不止一个 token 吧，之前我们做的策略就是有两个 token，refresh token 和 access token，利用 refresh token 去刷新

>token 会定期刷新让你不过期的错觉 ,并不是不过期

>不仅一个 token 吧，好多设备信息和设备相关签名的，你换了设备来请求还是能识别出来的吧

这两个合起来基本上就是正确答案了。大部分 App 换了设备会被踢下线的，将你的手机资料全部迁移到一个新手机试试就知道了。

自动登录里有设备 ID 的，你拿到 token 也没用，除非你再弄一个一模一样的设备。

关于楼上说的设备验证，之前用过一个 app 叫钛备份，好像不是所有 app 都做了的，有些 app 直接恢复就能用（好几年前的事情了，记不清楚了

token 应该会定期刷新的吧

@taobibi 逼乎就这样了 很坑

楼主去用用上海健康码的小程序就知道登录态太短有多恶心人了

iOS 好多 APP 重新下载都直接跳出 “到 XX 是你的账号吗？”

见过软件换设备了旧的 cookie 依旧有效

@murmur 这个赔也没啥难度啊，现在手机基本上都是有锁屏密码的，其次支付宝也只是小额免密，赔起来也没啥难度