用 Axios 封装一个双 token 无感刷新

已于 2024-06-06 09:01:54 修改
阅读量1.6k 收藏 34
点赞数 18
文章标签: 笔记 前端
于 2024-06-06 09:00:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53142039/article/details/135315209
版权

为什么要用双Token无感刷新,它解决了什么问题?

        为了保证安全性,后端设置的Token不可能长期有效,过了一段时间Token就会失效。而发送网络请求的过程又是需要携带Token的,一旦Token失效,用户就要重新登陆,这样用户可能需要频繁登录,体验不好。为了解决这个问题,采取双Token(Access_Token,Refresh_Token)无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。

如何实现token的无感刷新。

在单点登录的环境下,服务器会给用户一个短时token,而另一个长时刷新token用于换取短时token。通过拦截器和配置更改,可以实现自动刷新token的功能。手动刷新token可以通过修改请求头中的token实现。同时,提到了一种通过excel创建基地址并使用拦截器来实现自动刷新token的方案。

单点登录的模式,并以C型加cookie模式为例详细讲解了用户如何完成登录流程。C型加cookie模式具有很强的控制力,但存在着烧钱、认证中心压力大等问题。为了降低成本和减轻认证中心的压力,出现了Token模式,用户登录后生成一个不能被篡改的字符串作为Token,而不再在服务器表格中记录任何东西。Token模式的优势在于成本低,但控制力较弱。

用户登录之后,会返回一个用户的标识,之后带上这个标识请求别的接口,就能识别出该用户。

标识登录状态的方案有两种:session jwt

session 是通过 cookie 返回一个 id,关联服务端内存里保存的 session 对象,请求时服务端取出 cookie 里 id 对应的 session 对象,就可以拿到用户信息。

jwt 不在服务端存储,会直接把用户信息放到 token 里返回,每次请求带上这个 token,服务端就能从中取出用户信息。 token 一般是放在一个叫 authorization 的 header 里。

双 token 验证流程
  1. 用户登录向服务端发送账号密码,登录失败返回客户端重新登录。登录成功服务端生成 accessToken 和 refreshToken,返回生成的 token 给客户端。
  2. 在请求拦截器中,请求头中携带 accessToken 请求数据,服务端验证 accessToken 是否过期。token 有效继续请求数据,token 失效返回失效信息到客户端。
  3. 客户端收到服务端发送的请求信息,在二次封装的 axios 的响应拦截器中判断是否有 accessToken 失效的信息,没有返回响应的数据。有失效的信息,就携带 refreshToken 请求新的 accessToken。
  4. 服务端验证 refreshToken 是否有效。有效,重新生成 token, 返回新的 token 和提示信息到客户端,无效,返回无效信息给客户端。
  5. 客户端响应拦截器判断响应信息是否有 refreshToken 有效无效。无效,退出当前登录。有效,重新存储新的 token,继续请求上一次请求的数据。

这两种方案一个服务端存储,通过 cookie 携带标识,一个在客户端存储,通过 header 携带标识。

session 的方案默认不支持分布式,因为是保存在一台服务器的内存的,另一台服务器没有

jwt 的方案天然支持分布式,因为信息保存在 token 里,只要从中取出来就行。

前端部分在axios封装时候加拦截器判断token是否过期,我这里跟别人写的最大的不同点是:我创建了两个axios对象,一个正常数据请求用(server),另一个专门刷新token用(serverRefreshToken),这样写的好处是省去了易错的判断逻辑

refreshToken.js

import request from './request';
import { getRefreshToken } from './token';
 // 定义一个全局或模块级的变量来存储当前的刷新token请求的Promise
let promise = null;

// 异步函数,用于刷新token
async function refreshToken() {
  // 如果已经有一个刷新token的请求正在进行,直接返回该Promise
  if (promise) {
    return promise;
  }

  // 创建一个新的Promise
  promise = new Promise((resolve, reject) => {
    // 打印日志,表示正在刷新token
    console.log('正在刷新token');

    // 发起GET请求到'/refresh_token'路径,并携带Authorization头部
    request.get('/refresh_token', {
      headers: {
        // 使用getRefreshToken函数获取的当前刷新token
        Authorization: `Bearer ${getRefreshToken()}`,
      },
      // 假设这不是一个标准的请求选项,如果确实需要这样的属性,请确保你的请求库支持它
      // 否则,请移除或替换为正确的请求选项
      // __isRefreshToken: true, // 不规范的属性,通常不建议在请求配置中使用双下划线开头的属性
    })
    .then((resp) => {
      // 如果响应的code为0,表示请求成功,resolve Promise并返回true
      if (resp.code === 0) {
        resolve(true);
      } else {
        // 如果code不为0,可能表示请求失败或token无效,resolve Promise并返回false
        resolve(false);
      }
    })
    .catch((error) => {
      // 如果请求发生错误,reject Promise并传递错误对象
      reject(error);
    });
  });

  // 无论Promise是resolve还是reject,都会执行finally块中的代码
  promise.finally(() => {
    // 将promise设置为null,表示刷新token的请求已经完成
    promise = null;
  });

  // 返回Promise,允许调用者使用await等待其完成
  return promise;
}

request.js

import axios from 'axios'
import { refreshToken, isRefreshRequest } form './refreshToken.js'

// 创建axios实例
const service = axios.create({
  baseURL: '',// 所有的请求地址前缀部分
  timeout: 25000, // 请求超时时间(毫秒)
  withCredentials: true// 异步请求携带cookie
})

// 请求拦截器
service.interceptors.request.use((config: any) => {
	...
}, error => {
	...
})

// 响应拦截器
service.interceptors.response.use((response: any) => {
	let res = response.data
	if (res.code == '401' && !isRefreshRequest(res.config)){ // 如果没有权限且不是刷新token的请求
		// 刷新token
		try {
			const res = await refreshToken()
			// 保存新的token
			localStorage.setItem('token', res.data.token)
			// 有新token后再重新请求
			response.config.headers.token = localStorage.getItem('token') // 新token
			const resp = await service.request(response.config)
			return resp.data
			// return service(response.config)
		}catch {
			localStorage.clear() // 清除token
			router.replace('/login') // 跳转到登录页
		}
	}
}, error => {
	...
	console.log('error', error)
	return Promise.reject(error)
})

问题一:如何防止多次刷新token

为了防止多次刷新token,可以通过一个变量isRefreshing 去控制是否在刷新token的状态

import axios from 'axios'
import { refreshToken, isRefreshRequest } form './refreshToken.js'

// 创建axios实例
const service = axios.create({
   baseURL: '',// 所有的请求地址前缀部分
  timeout: 25000, // 请求超时时间(毫秒)
  withCredentials: true// 异步请求携带cookie
})

// 请求拦截器
service.interceptors.request.use((config: any) => {
	...
}, error => {
	...
})

// 响应拦截器
service.interceptors.response.use((response: any) => {
	let res = response.data
	let isRefreshing = false
	if (res.code == '401' && ! isRefreshRequest(res.config)){ // 如果没有权限且不是刷新token的请求
		if (!isRefreshing) {
			isRefreshing = true
			// 刷新token
			try {
				const res = await refreshToken()
				// 保存新的token
				localStorage.setItem('token', res.data.token)
				// 有新token后再重新请求
				response.config.headers.token = localStorage.getItem('token') // 新token
				const resp = await service.request(response.config)
				return resp.data
				// return service(response.config)
			}catch {
				localStorage.clear() // 清除token
				router.replace('/login') // 跳转到登录页
			}
			isRefreshing = false
		}
	}
}, error => {
	...
	console.log('error', error)
	return Promise.reject(error)
})

问题二:同时发起两个或者两个以上的请求时,怎么刷新token

当第二个过期的请求进来,token正在刷新,我们先将这个请求存到一个数组队列中,想办法让这个请求处于等待中,一直等到刷新token后再逐个重试清空请求队列。

那么如何做到让这个请求处于等待中呢?

为了解决这个问题,我们得借助Promise。将请求存进队列中后,同时返回一个Promise,让这个Promise一直处于Pending状态(即不调用resolve),此时这个请求就会一直等啊等,只要我们不执行resolve,这个请求就会一直在等待。当刷新请求的接口返回来后,我们再调用resolve,逐个重试。

import axios from 'axios'
import { refreshToken, isRefreshRequest } form './refreshToken.js'

// 创建axios实例
const service = axios.create({
   baseURL: '',// 所有的请求地址前缀部分
  timeout: 25000, // 请求超时时间(毫秒)
  withCredentials: true// 异步请求携带cookie
})

// 请求拦截器
service.interceptors.request.use((config: any) => {
	...
}, error => {
	...
})

// 响应拦截器
service.interceptors.response.use((response: any) => {
	let res = response.data
	let isRefreshing = false
	let requests = [] // 请求队列
	if (res.code == '401' && isRefreshRequest(res.config)){ // 如果没有权限且不是刷新token的请求
		if (!isRefreshing) {
			isRefreshing = true
			// 刷新token
			try {
				const res = await refreshToken()
				// 保存新的token
				localStorage.setItem('token', res.data.token)
				// 有新token后再重新请求
				response.config.headers.token = localStorage.getItem('token') // 新token
				
				// token 刷新后将数组的方法重新执行
		        requests.forEach((cb) => cb(token))
		        requests = [] // 重新请求完清空
		        
				const resp = await service.request(response.config)
				return resp.data
				// return service(response.config)
			}catch {
				localStorage.clear() // 清除token
				router.replace('/login') // 跳转到登录页
			}
			isRefreshing = false
		} else {
			// 返回未执行 resolve 的 Promise
			return new Promise(resolve => {
				// 用函数形式将 resolve 存入,等待刷新后再执行
				request.push(token => {
					response.config.headers.token = `${token}`
					resolve(service(response.config))
				})
			})
		}
	}
}, error => {
	...
	console.log('error', error)
	return Promise.reject(error)
})

人间凡尔赛
关注
基于 Axios 封装一个完美的双 token 无感刷新
qq_45532769的博客
10-25 294
服务端把用户信息放入 token 里,设置一个过期时间,客户端请求的时候通过 authorization 的 header 携带 token,服务端验证通过,就可以从中取到用户信息。因为如果你重新登录,是不是需要再填一遍用户名密码?当 access_token 过期时,通过 refresh_token刷新,拿到新的 access_token 和 refresh_token刷新 token 的接口里,我们拿到新的 access_token 和 refresh_token 后,更新本地的 token
vue的axios封装 实现无感刷新token
kylinca的博客
03-03 978
import axios from 'axios' import router from '../router' import store from '@/store' import { succeed, failed, warning } from "@/utils" import { getToken, setToken } from './auth' import { MessageBox, Message } from 'element-ui' import { .
axios实现token无感刷新
阿锐的博客
08-14 664
【代码】axios实现token无感刷新
token无感刷新
最新发布
stc_ljc的博客
09-20 1452
token无感刷新是一种在Web开发中常用的安全及用户体验优化技术,主要涉及到两种类型的token:Access Token(访问令牌)和Refresh Token刷新令牌)。以下是对双token无感刷新的详细解释
axios无感刷新token
Suk__的博客
03-01 413
【代码】axios无感刷新token
axios封装终极版实现token无感刷新及全局loading
陆仁丶的博客
02-20 1098
关于axios全局loading的封装博主已经发过一次了,这次是在其基础上增加了token无感刷新
vue axios实现双token无感刷新
weixin_45606890的博客
07-26 2929
vue实现token无感刷新
axios如何利用promise无痛刷新token的实现方法
12-08
在本文中,我们将探讨如何使用`axios`库和Promise来实现无痛刷新`token`的策略,以便在前端应用中确保用户在`token`过期时仍能顺畅地使用服务。这种需求通常出现在用户登录后,后端返回了一个`token`和其有效时间。...
无感刷新 token
阿城的博客
11-03 1615
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
请求时token过期自动刷新token操作
11-19
为此,我们使用一个`Promise`数组`subscribers`来收集那些因`token`失效而被延迟的请求,当`token`刷新完成后,我们依次执行这些`Promise`,从而保证了请求的正确顺序。 总结起来,自动刷新`token`的关键在于正确地...
使用Axios进行无感刷新Token
19:30的博客
09-24 3568
使用Axios结合后端完成无感刷新token
token值 记住密码_封装 axios 拦截器实现用户无感刷新 access_token
weixin_39861255的博客
11-29 318
最近做项目的时候,涉及到一个单点登录,即是项目的登录页面,用的是公司共用的一个登录页面,在该页面统一处理逻辑。最终实现用户只需登录一次,就可以以登录状态访问公司旗下的所有网站。❝单点登录( Single Sign On ,简称 SSO),是目前比较流行的企业业务整合的解决方案之一,用于多个应用系统间,用户只需要登录一次就可以访问所有相互信任的应用系统。❞其中本文讲的是在登录后如何管理ac...
axios 刷新token无感
qq_40031303的博客
10-18 719
前言 token 本身的机制及安全性本文就不赘述,感兴趣的朋友可以百度自行了解。接下来讲下前端如何使用axios进行无感刷新jwt。 大致思路如下: 使用axios请求拦截器请求接口时,需要将token带入到请求头以便后端去验证。 在axios响应拦截器中,当一个或多个接口响应token超时并返回特定状态码时,其中一个接口执行更新token接口,其余的响应拉入队列(数组)中,异步等待更新token接口执行完毕,再执行队列(重新请求队列中的接口并将返回的数据return出去),再置空队列以便下次。 代码如
在vue前端开发中基于refreshTokenaxios拦截器实现token无感刷新
在这里,我乐于倾囊相授,分享我的技术心得、项目实战经验、技术技巧。希望能够惠及更多的开发者,助力大家在技术的海洋中扬帆远航。
03-11 5226
RefreshToken 方法是现代 Web 应用中一种常见的身份验证机制,尤其在需要长时间保持用户登录状态的场景下具有重要意义。RefreshToken 方法的主要作用是在用户登录后,服务器生成一个 RefreshToken 并将其返回给客户端。客户端在之后的每次请求中都需要携带这个 RefreshToken,以便服务器能够验证用户身份并返回用户所需的数据。使用场景包括但不限于:用户在应用中的长时间操作、用户在多个设备上使用应用、用户需要跨域访问应用等。
axiosToken无感刷新
qq_36619440的博客
10-26 234
axiosToken无感刷新
封装 axios 拦截器实现用户无感刷新 access_token
程序员成长指北
07-11 343
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群前言最近做项目的时候,涉及到一个单点登录,即是项目的登录页面,用的是公司共用的一个登录页面,在该页面统一处理逻辑。最终实现用户只需登录一次,就可以以登录状态访问公司旗下的所有网站。❝单点登录( Single Sign On ,简称 SSO),是目前比较流行的企业业务整合的...
基于 Axios 封装一个完美的双 token 无感刷新
小生方勤
08-30 563
用户登录之后,会返回一个用户的标识,之后带上这个标识请求别的接口,就能识别出该用户。标识登录状态的方案有两种: session 和 jwt。session 是通过 cookie 返回一个 id,关联服务端内存里保存的 session 对象,请求时服务端取出 cookie 里 id 对应的 session 对象,就可以拿到用户信息。jwt 不在服务端存储,会直接把用户信息放到 token 里返回,每...
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间凡尔赛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值