前端实现 refresh_token刷新, 无痛token刷新机制

最新推荐文章于 2024-07-01 19:32:06 发布
最新推荐文章于 2024-07-01 19:32:06 发布
阅读量2.7k 收藏 11
点赞数 1
分类专栏: vue登录退出,token验证无痛刷新 文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49515138/article/details/127897625
版权

前言
目前登录有很多用的是token机制, 因为安全性问题, 一般都会返回一个刷新token 和 使用的token, 还有过期时间, 可以根据过期时间, 当现有token失效时, 重新获取新的token
在这里插入图片描述
当token失效或即将失效时, 重新获取新的token, 但因为ajax是异步的, 请求新的token是需要一定时间, 此时若是有新的请求接口, 就会出现问题
一般有两种方法可以实现无痛刷新token机制:

在请求拦截中, 拦截刷新token时, 将额外接口缓存, 刷新成功后在重新发送请求
在响应拦截中, 将额外接口缓存, 刷新成功后在重新发送请求
因为一开始找到的方法就是第二种, 所以直接使用第二种方法
此方法有一个缺点: 就是缓存接口会请求二次, 消耗性能
解决思路
基于axios的vue框架
大致思路:

判断token是否过期 以及 是否即将过期
过期后, 发送刷新token请求, 并将刷新token期间请求的接口缓存起来
请求成功后, 在重新请求之前的请求
方案

// 创建axios实例
const service = axios.create({
    withCredentials: false, // 请求不带cookie
    baseURL: baseURL, // api 的 base_url
    timeout: timeout // 请求超时时间
});


// 请求拦截器没有做处理
service.interceptors.request.use(config => {
    ...
    return config
})

// 是否正在刷新的标记 -- 防止重复发出刷新token接口
let isRefreshing = false;
// 判断token是否失效: return: true为过期
function isOAverdue() {
    // 当离过期时间还有半小时时, 也判断为过期
    // getTokenItem('time'): 获取存入localStorage的过期时间
    return Math.floor((Date.now() - getTokenItme('time')) / 1000) + 30 * 60 > 
        getTokenItme('expires_in');
}
// 失效后同时发送请求的容器 -- 缓存接口
let subscribers = [];
// 刷新 token 后, 将缓存的接口重新请求一次
function onAccessTokenFetched(newToken) {
    subscribers.forEach((callback) => {
        callback(newToken);
    });
    // 清空缓存接口
    subscribers = [];
}
// 添加缓存接口
function addSubscriber(callback) {
    subscribers.push(callback);
}

// 响应拦截器
service.interceptors.response.use(
    response => {
        // 当response.data.re为401, 则判断token已经过期
        // /oauth/token为刷新token的接口, 需要排除掉 
        if ((isOAverdue() || response.data.ret === 401) && !response.config.url.includes('/oauth/token')) {
            if (!isRefreshing) {
                isRefreshing = true;
                // 将刷新token的方法放在vuex中处理了, 可见下面区块代码
                store.dispatch('refreshToken').then((res) => {
                    // 当刷新成功后, 重新发送缓存请求
                    onAccessTokenFetched(res);
                }).catch(() => {
                    // 刷新token报错的话, 就需要跳转到登录页面
                    window.location = '/#/guide/login';
                }).finally(() => {
                    isRefreshing = false;
                });
            }
            // 将其他接口缓存起来 -- 这个Promise函数很关键
            const retryOriginalRequest = new Promise((resolve) => {
                // 这里是将其他接口缓存起来的关键, 返回Promise并且让其状态一直为等待状态, 
                // 只有当token刷新成功后, 就会调用通过addSubscriber函数添加的缓存接口, 
                // 此时, Promise的状态就会变成resolve
                addSubscriber((newToken) => {
                    // 表示用新的token去替换掉原来的token
                    response.config.headers.Authorization = `bearer ${newToken}`;
                    // 替换掉url -- 因为baseURL会扩展请求url
                    response.config.url = response.config.url.replace(response.config.baseURL, '');
                    // 用重新封装的config去请求, 就会将重新请求后的返回
                    resolve(service(response.config));
                });
            });
            return retryOriginalRequest;
        }
        // ========================
        
        // .... 省略其他代码.....
    }
    
    // vuex中刷新token方法
    async refreshToken({ commit }) {
        // getTokenItem('refresh_token): 获取刷新token
        try {
            let res = await refreshToken(getTokenItem('refresh_token));
            const data = res.access_token;
            newSetToken(res);
            return data;
         } catch(e) {
            return '刷新token出错';
         }
    }
前端不加班
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Refresh Token介绍
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
前后端处理实时刷新refresh_token的使用
热门推荐
qq_41522141的博客
03-23 1万+
实现方案 后端生成两个tokentokenrefresh_token),token有效时间短,refresh_token有效时间长; 前端请求登录后,后端把这两个token传给前端前端缓存下来; token未到期,前端可正常请求。 token过期,后端会返回与前端约定好的相关参数(比如,响应码401),前端在返回拦截器中判断拦截,并将refresh_token替换掉已经失效的token去调用api_refresh_token的接口请求。后端则判断refresh_token是否过期。 (1)refre
Token刷新机制
最新发布
weixin_43914605的博客
07-01 988
方法优点缺点基于定时器的自动刷新简单易实现,自动化管理不适用于后台刷新,可能导致不必要的网络请求基于请求拦截器的刷新高效,适用于后台刷新,减少不必要的网络请求,复杂度增加,需要处理并发刷新问题,同一时刻多个请求可能触发多次刷新。首次请求可能延迟基于响应拦截器的刷新只有在必要时才刷新 token,避免不必要的请求,能够处理 token 失效后的各种情况,包括并发问题。首次请求失败可能增加延迟。
阿里云oss 前端通过stsToken,普通上传、分片上传、断点续传(单文件和批量上传)
mrqi122的博客
08-25 6846
一、获取sts相关信息二、前端配置1、组件2、api三、演示。
为什么要有refreshToken
Maisuluo的博客
12-30 3492
当你第一次接触的时候,你有没有一个这样子的疑惑,为什么需要refreshToken这个东西,而不是服务器端给一个期限较长甚至永久性的accessToken呢?
实现Token刷新机制
youngerxsd的博客
08-23 1956
开发的项目中,如果正在项目中编辑信息,编辑信息的时间的过程中token失效可能导致信息丢失怎么办?
关于refresh token的总结
MPFLY的博客
03-01 6855
refresh_token使用说明和记录
refreshToken刷新token后会变化的原因以及refreshToken的复用
weixin_43757027的博客
10-25 6202
refreshToken刷新token后会变化的原因以及refreshToken的复用 两次使用refreshToken刷新token返回的refreshToken如下: 将两次返回的refreshToken解密后可以看到。处理ati不一样,其它参数都是一样的 ati(access token):新的访问令牌的id jti : refreshToken 的id 既然刷出了新的token,那么ati肯定变了,那么由这些信息加密成的refreshToken自然也是一直变化的 那么如果想无限制刷新refres
TokenRefresh Token
weixin_44153131的博客
02-14 3311
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
tokenrefreshtoken的问题
2301_76622053的博客
05-12 810
所以调用修改token的这个方法的载荷里,把tokenrefresh_token都写上,token就是从第三次请求中得到的token中来,refresh_token就是原本的refresh_token。第三次请求中拿到的数据里,data里的token就是我们要的刷新之后的token,用这个新获取到的token替换掉存储在store里的老token。在state里存储的tokenObj对象里,有两个数据,tokenrefresh_token,但是我们调用修改方法 只传了一个token
前端JS使用STS鉴权上传文件到OSS
zhuwei_clark的博客
03-28 5147
不多说了,直接上代码,下面是前端代码 <button id="send"> 点击 </button> <script src="jquery-1.11.3.min.js"></script> <script src="aliyun-oss-sdk.js"></script> <script> var blob...
实现token的无感刷新
m0_70902093的博客
06-29 4559
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
什么是 Refresh Token
里查叔叔
09-18 6642
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
jwt的token如何刷新
小青龙,创造,变强
02-27 4446
jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新?jwt的token如何刷新
基于spring security实现vue2前后端分离的双token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3620
网上许多博主,放张图片讲讲双token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
【网络教程】如何获取阿里云盘的refresh_token
XiaoqiangClub的博客
08-19 1万+
如何获取阿里云盘的refresh_token
微信小程序开发----业务场景
2301_76855186的博客
06-14 507
02.refreshToken功能-基本实现01.refresh_token介绍。
用vuex对token/refresh_token 进行管理以及处理token过期问题
m0_49515138的博客
11-17 3267
就是用户在进入白名单页面时,比如说首页或者其他不需要个人信息页面时,是不需要登录的,如果在没有登录的情况下,想要进入类似于个人中心,会员中心这种页面时,那么就需要让用户去登录页面登录一下,登录完成之后再返回刚刚要去的个人中心页面,这时候就是在路由跳转的时候,带上刚刚页面的路由路径,可以在登录完成之后原路返回。非但必须有个过期时间,而且过期时间还不能太长,那么重新获取有两种方式,一是重复第一次获取token的过程(比如登录,扫描授权等) ,这样做的缺点是用户体验不好,每一小时强制登录一次几乎是无法忍受的。
返回 aeecss_token为空 refresh_token有值
06-03
因此,如果在使用旧的 refresh_token 获取 access_token 时返回 access_token 为空,但是 refresh_token 不为空,很可能是因为旧的 refresh_token 已经被使用了,需要使用新的 refresh_token 去获取新的 access_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值