基于OAuth2.0的token无感知刷新

最新推荐文章于 2024-03-13 21:50:28 发布
最新推荐文章于 2024-03-13 21:50:28 发布
阅读量442 收藏 1
点赞数
原文链接:https://www.cnblogs.com/jdWu-d/p/12643822.html
版权

  目前手头的vue项目关于权限一块有一个需求,其实架构师很早就要求我做了,但是由于这个紧急程度不是很高,最近临近项目上线,我才想起,于是赶紧补上这个功能。这个项目是基于OAuth2.0认证,需要在每个请求的头部携带access_token,如果这个access_token过期,需要利用已有的refresh _token去重新获取一个access_token,如果连这个refresh_token也过期了,那就是真正的过期了,需要退出登录页面。refresh_token在获取新的access_token的时候需要让用户无感知,也叫无痛刷新。

  这里的代码实现肯定是要在axios拦截器里写的,但是是在请求拦截器里写还是在响应拦截器里写还是有区别的:

  1.写在请求拦截器里:每次请求之前都会先请求一个checkToken的接口,来确认这个access_token是否过期,如果没有过期,直接就发起原本的请求,如果过期,利用已有的refresh _token去重新获取一个access_token之后,再发起原本的请求。但是这样写有个缺点,就是每次请求之前都要额外请求一次checkToken的接口,如果网速不好,会给用户造成不好的体验,而且对服务器造成了性能上的浪费。

  2.写在响应拦截器里:直到access_token过期,返回401未授权,才利用已有的refresh _token去重新获取一个access_token。

  最后我和后端讨论了下,最后采用了第二种方法,把checkToken放在后端,前端无感知刷新写在响应拦截器里。

这里写的一个响应拦截器:

import axios from 'axios'

//创建一个axios实例
const service = axios.create({
  timeout: 5000, // 请求超时时间
  withCredentials:true //表示跨域请求时是否需要使用凭证. 默认为false
})
var loading;//遮罩层

// 响应拦截器
service.interceptors.response.use(
  response => {
    //do what you like
  },
  error => {
    loading.close();
    if (error && error.response) {
      switch (error.response.status) {
        case 400:
          error.message = '请求错误'
          break
        case 401:
          return doRequest(error);
        case 403:
          error.message = '拒绝访问'
          break
        case 404:
          error.message = `请求地址出错: ${error.response.config.url}`
          break
        case 408:
          error.message = '请求超时'
          break
        case 500:
          error.message = '服务器内部错误'
          break
        case 501:
          error.message = '服务未实现'
          break
        case 502:
          error.message = '网关错误'
          break
        case 503:
          error.message = '服务不可用'
          break
        case 504:
          error.message = '网关超时'
          break
        case 505:
          error.message = 'HTTP版本不受支持'
          break
        default:
          break
      }
    }
    errorLog(error)
    return Promise.reject(error)
  }
)

  export default service 
 

  可以看到在响应拦截器的错误回调函数里401值的时候调用了一个方法doRequest();

async function doRequest (error) {
  try {
    const data = await getNewToken();
    var token=data.data.token_type+' '+data.data.access_token;
    sessionStorage.setItem('RequestToken',token);
    const res = await service.request(error.config)
    return res;
  } catch(err) {
    Message({
      message: '登录会话已过期,请重新登录',
      type: 'error',
      duration: 5 * 1000
    })
    sessionStorage.clear();
    router.replace({
      path:"/login"
    });
    return err;
  }
}

  这里的重点这些请求必须是同步的,同步的,同步的,重要的事情说三遍,而axios默认是异步的,所以你要么使用ES6的async/await语句,要么使用then回调函数,必须保持是同步的。而getNewToken()则是利用refresh_token重新获取access_token方法。算了,一并贴出,仅作参考。

import qs from 'qs'

async function getNewToken() {
  var refreshToken=sessionStorage.getItem('refreshToken');
  return await axios({
    url: '/OAuth/oauth/token',
      method: 'post',
      headers: {
        'Authorization': 'Basic XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX',
        'Content-Type':'application/x-www-form-urlencoded'
      },
    data:qs.stringify({
      grant_type:'refresh_token',
      refresh_token : refreshToken
    })
  })
}

  下面看效果。为了效果,这里设置了access_token有效时间为5s,refresh _token有效时间为10s。动图是这样的:

  一步一步分解下,登录的时候,获取到access_token和refresh _token。然后带着access_token:f0a3******cb64去访问menuQuery接口是可以正常请求的。

   但是之后,我等了超过5s后(不超过10s,这个时候access_token已过期,refresh _token未过期)发了一个对0304接口的请求,这个时候返回401未授权,说明access_token:f0a3******cb64已过期。

   这时利用refresh_token重新获取access_token。

  可以看到返回了一个新的access_token:8332******1c8a,于是带着这个新的access_token重新发起对0304接口的请求,这个时候就可以返回所需要的数据。

 

 

  之后再等超过5s,这个时候access_token过期了,refresh _token也过期了。动图是这样的:

 

   这时的请求返回的是400,而不是401了,这说明refresh _token:826b******17d1过期了。这个时候就该退出登录界面,重新登录了。

   最后,放一个总的效果图:

keocce
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
有图解有案例,我终于把OAuth2.0搞清楚了
weixin_43398645的博客
07-17 732
Client:客户端,它本身不会存储用户快捷登录的账号和密码,只是通过资源拥有者的授权去请求资源服务器的资源,即例子中的网站A;Resource Owner:资源拥有者,通常是用户,即例子中拥有QQ/微信账号的用户;Authorization Server:认证服务器,可以提供身份认证和用户授权的服务器,即给客户端颁发token校验token;Resource Server:资源服务器,存储用户资源的服务器,即例子中的QQ/微信存储的用户信息;
Oauth2.0(三):Access Token 与 Refresh Token
blowing00的专栏
02-28 3533
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
Token感知刷新
最新发布
广漂程序猿DevinRock
03-13 352
感知刷新Token是指在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。可以幻想一下,你在一个应用中,填写了很多个表单,最后提交的时候,401认证失败,这个时候你心里肯定一万个....所以为了解决这个问题,给用户更好的体验,本文介绍无感知刷新token的实现。在实现过程中,会发现该实现方式大部分都是在请求拦截和相应拦截中设置的,这样带来的问题就是,耦合性高,接口重试的机制不太好。token验证的原理。
OAuth2.0与前端无感知token刷新实现
Arui_0的博客
09-26 1630
前言 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛的应用。Facebook、Twitter和Google等各种在线服务都提供了基于OAuth规范的认证机制。 OAuth一般用于面向第三方大范围公开的API中的认证工作。换言之,假设带有用户注册功能的在线服务A(例如腾讯qq)对外公开了API,在线服务B(例如百度网盘)便可使用这些在线服务A的API提供的各种功能。这种情况下,当某个已在qq里注册的用户需要百度网盘的在线服务时,网盘的在线服务就会希望访问qq来使用该用户
Spring Security OAuth2.0(二)-----简化模式/密码模式/客户端模式/刷新 token
qq_42264638的博客
04-21 1323
新增“implicit” 和修改回调地址为本次地址。
VUE前端实现token的无感刷新,即refresh_token
程序猿的傻白甜
05-23 2493
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。:需要后端额外提供一个token过期时间的字段;
OAuth2.0实现自定义颁发token
doinbb的博客
03-18 5536
一. 底层原理 通过浏览器/外部服务传入账号密码,以及clientId以及secret申请token,底层实现token颁发的类: org.springframework.security.oauth2.provider.endpoint.TokenEndpoint -- postAccessToken()方法 二. 自定义实现 /** * 生成 oauth2...
无感刷新 token
阿城的博客
11-03 1227
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
Oauth2.0实现token刷新功能
康小虎的博客
07-13 9683
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2、刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
热门推荐
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
实现token的无感刷新
m0_70902093的博客
06-29 3905
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象。new ShopifyToken(options) 创建一个新的ShopifyToken实例。争论options一个普通JavaScript对象,例如{ apiKey: ...
基于Django2.1.2的OAuth2.0授权登录
04-15
基于Django2.1.2的OAuth2.0授权登录 大学生课程设计 基于Django2.1.2的OAuth2.0授权登录的课程设计 自己大二写的课程设计
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证,文章位置https://blog.csdn.net/u013938578/article/details/82956188
Spring Security OAuth2.0 token生成与刷新机制源码阅读
Mr1ght的博客
07-09 2463
一.介绍 Spring Security Oauth2是目前市面上非常流行的实现了OAuth2.0协议的权限框架。本文会介绍其是如何获取token以及刷新token的。 二.AbstractEndPoint Spring Security OAuth2的获取token校验token等接口均配置在EndPoint中的 AuthorizationEndpoint主要是第三方授权模式中的 获取code的流程接口 http://localhost:xxxx/auth/oauth/authorize Toke
Day245.OAuth2授权标准简介、4种认证服务器模式、AccessToken令牌刷新配置 -springsecurity-jwt-oauth2
阿昌爱Java
04-12 646
1.OAuth2授权标准简介 一、OAuth2需求场景 在说明OAuth2需求及使用场景之前,需要先介绍一下OAuth2授权流程中的各种角色: 资源拥有者(User) - 指应用的用户,通常指的是系统的登录用户 认证服务器 (Authorization Server)- 提供登录认证接口的服务器,比如:github登录、QQ登录、微信登录等 资源服务器 (Resources Server) - 提供资源接口及服务的服务器,比如:用户信息接口等。通常和认证服务器是同一个应用。 第三方客户端(Client)
token的无感刷新
备忘璐的博客
09-19 219
【代码】token的无感刷新
oauth2.0 token校验逻辑
04-22
Oauth2.0 token校验逻辑是指在调用API时,通过验证用户授权的Token来确定用户身份和权限的过程。一般来说,这个过程包含以下几个步骤: 1. 客户端请求授权:用户使用客户端(比如浏览器或移动应用程序)向OAuth2服务器请求授权。 2. 获取授权码:OAuth2服务器向用户返回授权码。 3. 获取Token:客户端通过授权码向OAuth2服务器请求Token。 4. 检查Token:客户端在访问API时,将Token附加到请求中,API服务器通过验证Token来确定用户身份和权限。 5. 刷新TokenToken有时限,如果Token过期,客户端需要向OAuth2服务器请求新的Token。 以上是OAuth2.0 token校验逻辑的基本过程,不同的OAuth2.0实现可能会有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值