关于token的无感刷新

最新推荐文章于 2024-05-08 08:32:40 发布
最新推荐文章于 2024-05-08 08:32:40 发布
阅读量95 收藏
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M15547650126/article/details/135053348
版权

在许多 Web 应用程序中,安全地管理用户身份是至关重要的。使用 JSON Web Token (JWT) 可以有效实现身份验证,但令牌的有效期限制了应用程序的使用体验。为了解决这个问题,我们可以实现一种无感刷新令牌(silent token refresh)的机制,当访问令牌过期时,自动获取新的令牌而无需用户重新登录。

本文将介绍如何在前端应用程序中实现 JWT 无感刷新令牌机制,主要使用 Axios 拦截器来处理令牌的刷新和更新。

实现过程

1. 设置 Axios 拦截器


// 添加拦截器,在请求中加入访问令牌
axios.interceptors.request.use(
  (config) => {
    const token = localStorage.getItem('accessToken');
    if (token) {
      config.headers.Authorization = `Bearer ${token}`;
    }
    return config;
  },
  (error) => {
    return Promise.reject(error);
  }
);

// 处理未授权响应并刷新令牌
axios.interceptors.response.use(
  (response) => {
    return response;
  },
  async (error) => {
    const originalRequest = error.config;
    if (error.response.status === 401 && !originalRequest._retry) {
      originalRequest._retry = true;
      const refreshToken = localStorage.getItem('refreshToken');
      const response = await axios.post('/refresh-token', { refreshToken });
      const newAccessToken = response.data.accessToken;
      localStorage.setItem('accessToken', newAccessToken);
      return axios(originalRequest);
    }
    return Promise.reject(error);
  }
);

2. 解释代码

上述代码中的第一个拦截器用于在每个请求中添加访问令牌。如果存在有效的访问令牌,则会将其添加到请求的标头中。

第二个拦截器用于处理未授权的响应。当接收到 401 错误(未授权)时,它首先检查是否已经尝试过重新发送请求。如果没有,它会获取本地存储中的刷新令牌,并向服务器发出请求以获取新的访问令牌。获取到新的访问令牌后,会将其存储在本地存储中,并重新发送之前失败的请求。

这样就实现了无感刷新令牌的机制,用户无需手动操作即可获取新的访问令牌。

以上就是如何在前端应用程序中实现 JWT 无感刷新令牌机制的基本内容。希望这篇博客能够帮助你更好地理解并实现无感刷新令牌的功能。

大婶太孙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
vue中前端利用refreshToken结合axios拦截器实现token的无刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
token刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
在拦截器内刷新token有效期
qq_61838643的博客
08-02 350
使用redisTemplate的expire函数便可刷新token的有效期,其中三个参数,第一个为token的名字,为String类型,第二个是持续时间,为Long类型,第三个是时间单位,可以是时分秒,为TimeUnit类型。token可用于标识用户,确认登录状态,一般都会给其设置一个有效期,为了避免出现用户还在网站上操作,而token过期,需要用户重新登录的乌龙事件出现,我们需要在客户端发请求的同时刷新token的有效期。
刷新token
最新发布
油墨香^-^的博客
05-08 51
JWT,全称为JSON Web Token,是一种用于在网络上传递信息的开放标准(RFC 7519)。它是一种紧凑且自包含的方式,用于在各方之间安全地传递信息。JWT通常用于身份验证和信息传递,特别是在Web应用程序中。JWT由三部分组成:Header(头部): 包含了两部分信息,算法和token类型。通常包括两部分,alg表示签名算法,typ表示token类型。Payload(负载): 实际存储的信息数据。Payload包含了一些称为声明的属性,这些声明有一些预定义的字段,也可以包含自定义的字段。
小程序无刷新
QYY的博客
10-17 682
【代码】小程序无刷新
JWTToken超时刷新策略
热门推荐
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwt的token自己没有超时刷新机制,所以这里简单贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户的JWT生成的Token作为k、v存储到cache缓存里面(这时候k、v值一样) * 2、当该用...
前端无痛刷新(无刷新)
weixin_67756017的博客
04-01 628
用户在做一些操作时,可能由于token过期而导致用户需要重新登录才能进行后面的操作。这是为了接口数据的安全考虑,后端会对token设置一个过期时长,而token过期的话用户就需要重新的登录才能操作特殊的操作,会对用户不太友好。这时就需要使用无痛(无)刷新了。在响应拦截器中根据过期token调用登录刷新token值。
基于Jwt实现身份认证token刷新refreToken
zouyang920的博客
04-25 717
实现用户无知的刷新token值,这里需要改造登录的方法,返回我们两个token,一个身份token和一个刷新token,当身份token有效期过期时,我们判断刷新token是否过期,没有过期则携带刷新token请求接口生成新的身份token,拿到最新的token值后再重新发起刚刚因token过期的请求。一般都是在登录成功后调用这个生成token的方法,并返回给前端(登录方法略,自行实现)。登录后后台接口返回值要求:必须提供刷新token的令牌(接口方法自行实现略)
微信小程序自动刷新token,无刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器会生成一个带有时效性的`token...
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2234
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
Java实战:实现JWT刷新令牌机制
oandy0的博客
02-25 1665
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
解决Shiro jwt并发刷新token问题
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessToken和RefreshToken中的时间戳是否一致,如果一致就重新生成一...
前端刷新token,判断token是否过期(jwt鉴权)
qq_45641978的博客
10-17 3571
4.1 什么是 JWTJWT 是 Auth0 提出的通过 对 JSON 进行加密签名来实现授权验证的方案;就是登录成功后将相关用户信息组成 JSON 对象,然后对这个对象进行某种方式的加密,返回给客户端;客户端在下次请求时带上这个 Token;服务端再收到请求时校验 token 合法性,其实也就是在校验请求的合法性。4.2 JWT 的组成JWT 由三部分组成: Header 头部、 Payload 负载 和 Signature 签名。
项目中前端如何实现无刷新 token
CRMEB小程序商城的博客
07-17 1427
前一阵遇到了一个问题,线上平台有时会出现用户正在使用的时候,突然要用户去进行登录,这样会造成很不好的用户体验,但是当时一直没有好的思路因此搁置了下来;通过零散时间查询资料以及思考,最终解决了这个问题,接下来跟大家分享一下!
基于OkHttp拦截器实现Token自动刷新(kotlin实现)
追风筝的人
02-01 966
基于OkHttp拦截器实现Token自动刷新
SpringBoot - JWT实现登录刷新token
起风
09-27 4857
1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。简答理解就是一个身份凭证,用于服务识别。 JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证。这种特性使其在分布式场景,更便于扩展使用。 2. JWT组成部分 JWT有三部分组成,头部(header),载荷(payload),是签名(signature)。 头部 头部主要声明了类型(jwt),以及使用的加密算法( HMAC SHA256) 载荷 载荷就是存放
Go语言jwt无刷新以及解决SSO单点登录限制
cczj0的博客
01-31 1895
Jwt提供了生成token以及token验证的方法,而token是一种不用存储在服务端,只需要由用户携带即可实现认证的一种方式。在介绍JWT之前,我们也应该先了解cookie和session。
实现token刷新
04-05
Token刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值