在Web開發中，使用Token來進行用戶認證是非常常見的一種方式。然而，Token過期是非常常見的問題，當Token過期后，用戶就需要進行重新登錄，這樣不僅會帶來不便，也讓用戶體驗變差。以下將介紹Token過期的一些原因及解決方法。

Token使用時限過短或過長

Token的有效期一般在幾分鐘到數小時之間，如果設置過短，用戶可能需要頻繁登錄，過長則存在安全隱患。一般來說，一個小時到兩個小時是一個比較合理的時間范圍，不過也要根據業務需求進行調整。

// 設置Token有效時間為兩小時
$token_expire_time = time() + 2 * 60 * 60;

Token沒有合理的刷新機制

在用戶一段時間內保持活躍的情況下，僅僅是重新登錄是不夠的。為了避免重新登錄，需要在Token快過期之前刷新Token。在接口調用過程中，可以使用操作Token的中間件。如果Token快過期時，中間件會自動刷新Token。

// 檢查Token是否快過期
if ($token_expire_time - time() < 5 * 60) {
// 刷新Token
$new_token = refresh_token();
// 更新數據庫中的Token
update_token($user_id, $new_token);
// 更新Token過期時間
$token_expire_time = time() + 2 * 60 * 60;
}

Token被盜用或泄露

如果攻擊者獲取了用戶的Token，攻擊者就可以使用Token來訪問用戶賬戶。這時，用戶應該立刻撤銷Token。用戶可以通過修改密碼或行使退出登錄等方式來實現。

// 修改Token
$new_token = update_token($user_id);
// 保存新的Token
save_token($new_token);
// 清除會話信息
session_destroy();

總結

Token過期是常見的問題，我們可以通過設置合理的過期時間、構建刷新機制、及時撤銷發現被盜用的Token等方式來解決這個問題。同時，開發人員也應該保持高度警覺，隨時關注Token是否安全。