实现Token的无感刷新,React与Node.js

于 2024-05-25 11:29:57 发布
阅读量845 收藏 10
点赞数 18
文章标签: react.js node.js 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaotlantis/article/details/139194826
版权

开头

这两天刚开始写自己构思的练习项目,登录逻辑写了以后开始写验证的逻辑,然后我就在想项目用哪种方式,最后是选择了双Token无感刷新的方案。

为什么选择无感刷新Token的方案呢?我觉得主要原因是:单Token如果过期时间短,用户体验差,过期时间长或者频繁获取的话,包含用户信息的单Token会有一定的安全隐患。(我写完了发现其实用SessionId挺好的,因为我的项目不存在服务器分布式的情况)

Token基本过程:

  1. 用户登录,服务端返回长、短Token,短Token的负载中携带服务端需要的用户信息,长Token仅携带一个用户名,一般短Token的过期时间是30min,长Token在7天左右;

  2. 随后前端把两个Token都保存下来,实现本地化存储,我是选择保存在localstorage里面的;

  3. 前端每次请求将短Token携带在请求头的Authorization字段中,服务端验证短Token有效并执行逻辑;

  4. Token30min后过期,此时前端发送请求到服务端,服务端验证时会发现短Token失效,此时返回状态码401,前端判断状态码随后将长Token作为参数去请求服务端获取新的长、短Token,再将失效的请求重发完成请求。

代码

后端:

服务端使用Node.jsexpress框架搭建。

创建路由与服务相关的逻辑就不写在这里了,只陈述和Token相关的逻辑。

token.js:

首先这里使用jsonWebtoken库,需要运行npm i jsonwebtoken安装并导入;随后定义两个密钥,定义使用jwt.sign创建两个Token并设置过期时间的方法。

短Token:accessToken 长Token:refreshToken

const jwt = require('jsonwebtoken')

const secretKey = 'a'
const secretKeyx = 'b'

const createAccessToken = user => {
    return jwt.sign(
        { username: user.username, uid: user.uid, nickname: user.nickname },
        secretKey,
        { expiresIn: 60 * 30 }
    )
}

const createRefreshToken = user => {
    return jwt.sign({ username: user.username }, secretKeyx, { expiresIn: '7d' })
}

我们还需要一个验证Token的中间件函数,如下:

这里使用jwt.verify来验证Token的有效性,无效就返回,有效就获取解码负载给到后续中间件。

//token校验
const verifyToken = async function (req, res, next) {
    const token = req.headers.authorization.split(' ')[1]
    jwt.verify(token, secretKey, function (err, decoded) {
        if (err) {
            res.status(401)
            return res.send({ code: 4004, msg: 'token无效' })
        }
        req.data = decoded
        next()
    })
}
module.exports = { secretKey, secretKeyx, verifyToken, createAccessToken, createRefreshToken }

其中req.headers.authorization.split(' ')[1]用来获取前端请求头中的Token,为什么需要这样获取呢?因为请求头中配置的authorization字段是由'Breaer'Token组成的,这里是为了符合相应规范所以这样设置。

tokenApi.js:

接下来需要定义一个验证长Token并刷新短Token给到前端的api:

const express = require('express')
const jwt = require('jsonwebtoken')

const { createRefreshToken, createAccessToken, secretKeyx } = require('../utils/token')
const User = require('../models/User') //数据库

const router = express.Router()

router.use(express.json()) //解析post请求体

router.post('/api/tokens/getAccessToken', async (req, res) => {
    const { refreshToken } = req.body
    jwt.verify(refreshToken, secretKeyx, async function (err, decoded) {
        if (err) {
            // console.log('verify error', err)
            console.log('验证失败')
            return res.status(200).send({ code: 4005, msg: 'token过期,请重新登录' })
        }
        const user = await User.findOne({ username: decoded.username })
        if (!user) {
            return res.status(200).send({ code: 4005, msg: 'token验证失败,请重新登录' })
        }
        const accessToken = createAccessToken({
            username: user.username,
            uid: user.uid,
            nickname: user.nickname,
        })
        const refreshToken = createRefreshToken({
            username: user.username,
        })
        console.log('刷新token')
        res.status(200).send({
            msg: 'token已刷新',
            code: 2000,
            data: { accessToken: accessToken, refreshToken: refreshToken },
        })
    })
})

module.exports = router

这里同样是使用jwt.verify方法验证长Token的有效性,有效就调用方法创建两个Token并返回给前端,若是长Token也无效,就告诉前端Token过期,请重新登陆。

哦不要忘了在用户登陆成功后要创建两个Token给到用户:

if (user.password !== password) {
            res.send({ msg: '密码错误', code: 4003 })
        } else {
            const accessToken = createAccessToken(user)
            const refreshToken = createRefreshToken(user)
            res.send({
                msg: '登陆成功',
                code: 2000,
                data: {
                    accessToken: accessToken,
                    refreshToken: refreshToken,
                },
            })
        }

前端:

前端首先是登录嘛,登陆以后拿到后端返回的Token,首先就是要存到本地:

const login = async e => {
        e.preventDefault()
        const res = await userLogin(params)
        localStorage.setItem('refreshToken', res.refreshToken)
        localStorage.setItem('accessToken', res.accessToken)
}

(暂时是直接存localstorage,后面还是准备用redux来管理)

然后是axios请求拦截器:

request.interceptors.request.use(
    config => {
        const token = localStorage.getItem('accessToken')
        config.headers.Authorization = `Bearer ${token}`
        return config
    },
    error => {
        return Promise.reject(error)
    }
)

拿到本地的accessToken并设置到请求头的Authorization字段中去,后面的Bearer之前也讲了,是因为相关规范。

最后就是和刷新accessToken相关的部分了,这一块是我研究下来最麻烦的一部分,可能讲的会不太清楚:

error => {
        //响应拦截器错误处理
        const res = error.response.data
        return new Promise((resolve, reject) => {
            // token过期
            if (res.code === 4004) {
                const { config } = error
                getAccessToken({ resolve, config })
            } else {
                reject(error)
            }
        })
    }

首先:在响应拦截器中判断状态码,我这里是自定义的4004为token失效,随后获取到error对象中的config对象,这里面是本次失败请求的相关配置,等会刷新完成后就是使用它进行重新请求,随后调用一个方法getAccessToken并传入对象参数{resolve,config}

const requestList = []
let flag = true

export const getAccessToken = async ({ resolve, config }) => {
    requestList.push({ resolve, config })
    if (flag) {
        flag = false
        await refreshToken()
        retryRequest()
        flag = true
    }
}

这个方法将对象保存到一个请求数组requestList里,然后进入一个if逻辑,里面两个方法分别是调用接口刷新accessToken和重新发送失败的请求。

这里的flag主要是用来判断当前是否正在刷新Token:一开始第一个请求失败了,进入了刷新Token的过程,如果不把flag改为false,在刷新Token的过程中若又有失败的请求进入这个方法,那么会再次刷新Token,造成Token的多次刷新,实际场景就是几个请求并发,都被告知Token失效,都会进入这个方法;

const refreshToken = async () => {
    const refreshToken = localStorage.getItem('refreshToken')
    try {
        const res = await request.post('/tokens/getAccessToken', { refreshToken: refreshToken })
        localStorage.setItem('accessToken', res.accessToken)
        localStorage.setItem('refreshToken', res.refreshToken)
        console.log('token刷新成功')
    } catch (err) {
        if (err.code === 4005) {
            console.log('err:', err)
            router.navigate('./login')
            requestList.length = 0
        }
    }
}

const retryRequest = async () => {
    requestList.forEach(({ resolve, config }) => {
        resolve(request(config))
    })
    requestList.length = 0
}

随后就是那两个方法,用来刷新Token和重新请求,如果refreshToken也过期了就会导致刷新失败,直接跳转到登录页,注意不管刷新成功还是失败最后都需要将请求列表清零。

最后

Token的无感刷新基本就实现完了,但我还发现了一个问题,暂时不知道怎么解决:

在我测试的时候,如果有 10个 并发的请求,后端处理后全都返回401,然后肯定会有第一个回到前端的请求触发token刷新,随后若是token刷新完成,flag已经置为true,还有后续请求没有来得及回到前端被添加到队列中,他又会重新进入刷新token的逻辑,会导致token的多次刷新。

作者:林可like
链接:https://juejin.cn/post/7372135071979487247
来源:稀土掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

文章转自:https://juejin.cn/post/7372135071979487247

前端77
关注
  • 18
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 中的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以获取适当的后端(在教程中找到)。 instance . interceptors . request . use ( ( config ) => { const token = TokenService . getLocalAccessToken ( ) ; if ( token ) { // config.headers["Authorization"] = 'Bearer ' + token; // for Spring Boot back-end config
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3050
无感刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token无感刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
React关于axios的二次封装 以及token刷新登录
h960822的博客
01-16 656
【代码】React关于axios的二次封装 以及token刷新登录。
React 实践 - 存储、刷新令牌
狮子大大
03-20 349
上一篇:React 网络请求 对接登录 API 前端存储 localstorage localStorage 方法存储的数据没有时间限制 存储方式: 以键值对(Key-Value)方式存储,永久存储,永不失效,除非手动删除 常用 API: getItem // 获取记录 setIten// 保存记录 removeItem //移除记录 clear // 清除记录 sessionstorage HTML5 本地存储 API 中 localStorage 与 sessionStorage 在使用方
无感刷新token(从后端到前端整个流程)
bdfcfff77fa的博客
01-18 827
token刷新前端安全中必要的一部分,本文从后端到前端整个流程介绍如何实现无感刷新token。页面代码亲自实现并跑通,请放心食用。如需源码,请在评论区留言。!!新建 config/constant.js/* localStorage存储字段 *///短token//长token、/* HTTP请求头字段 *///存放短token//存放长token新建 config/returnCodeMap.js// 在其它客户端被登录// 重新登陆// token过期//接口请求成功。
详解Node.js使用token进行认证的简单示例
01-21
本文只介绍简单的应用,关于json web token的具体介绍以及原理请参考阮一峰老师的JSON Web Token 入门教程。 使用的Node框架是koa2,前端发送ajax请求使用axios 首先创建工程目录: static中存放静态资源,views...
node.js 微信开发之定时获取access_token
10-15
本文给大家分享的是在使用node.js做微信开发的过程中如何定时获取access_token的方法,有需要的小伙伴可以参考下
token无感刷新完整例子(VUE+NEST)
最新发布
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
node.js+mysql博客全栈系统源码.zip
05-23
node.js+mysql博客全栈系统源码,全栈开发个人博客系统,前台展示和后台管理一体化。 node.js + express + mysql 包含前端博客展示、后台管理、node后端。整套博客系统开箱即用,对elemen-ui二次封装组件非常便利,...
Node.JS如何实现JWT原理
10-14
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于无状态的Web应用程序,如基于Node.js的API服务。JWT通过一个自包含的数字签名来确保数据完整性和防止篡改。下面是关于JWT和Node.js实现JWT的详细解释:...
JavaScript Applications with Node.js, React, React Native and MongoDB
01-08
JavaScript Applications with Node.js, React, React Native and MongoDB: Design, code, test, deploy and manage in Amazon AWS By 作者: Eric Bush ISBN-10 书号: 0997196661 ISBN-13 书号: 9780997196665 出版...
Node.js微信 access_token ( jsapi_ticket ) 存取与刷新的示例
10-19
本篇文章主要介绍了Node.js微信 access_token ( jsapi_ticket ) 存取与刷新的示例,具有一定的参考价值,有兴趣的可以了解一一下
node.js之express的token验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 中的用户信息,比如用户 id
Node.js-Bilibili部分API非官方文档以及Node.js实现
08-10
使用Node.js实现Bilibili API,意味着我们可以用JavaScript这门熟悉的语言来处理后端逻辑,与前端代码保持一致,便于全栈开发。 **文件bili-api-master**很可能是这个项目的源代码仓库,包含以下内容: 1. **API...
React 登录过期-无感刷新-401问题-整体说明
留着鼻涕敲代码
12-06 2464
1、401的错误场景 有如下两种情况会出现401错误: 未登陆用户做一些需要权限才能做的操作(例如:关注作者),代码会报出401错误。这种情况下,应该让用户回到登陆页。 登录用户的token过期了 2、refresh_tokentoken的作用 当用户登陆成功之后,后端返回的token中有两个值,说明如下: (不是一定,有一些就可能只返回一个) token: 作用:在访问一些接口时,需要传入token,就是它。 有效期:2小时(安全)。 refresh_token 作用: 当to
asp.net core 添加breaer token认证
学无止境! 无休无止!
05-25 953
Step 1.增加配置信息和配置类 增加一个类与配置信息绑定 public class JWTConfig { public string Issuer { get; set; } public string Audience { get; set; } public string IssuerSigningKey { get; set; } public int AccessTokenExpiresMinutes { .
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值