客户端通过API登陆，服务器的通常会返回一个身份验证的 accessToken ,之后每次请求都会带上这个 token,一段时间后token过期，需要重新请求，这个accessToken 是如何生成和管理的？