无感刷新token(从后端到前端整个流程)

已于 2024-01-12 20:45:58 修改
阅读量1.8k 收藏 4
点赞数
文章标签: 前端 javascript vue.js 网络安全 token
于 2023-02-17 18:13:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/129091826
版权
本文介绍了如何在前端应用中实现无感刷新Token,包括后端使用Node.js和Koa设置长短Token刷新机制,以及前端使用axios进行响应拦截处理过期Token,确保用户在Token过期时仍能无缝获取新Token并继续操作。
摘要由CSDN通过智能技术生成

前言

token刷新是前端安全中必要的一部分,本文从后端到前端整个流程介绍如何实现无感刷新token。页面代码亲自实现并跑通,请放心食用。如需源码,请在评论区留言。码字不易,点赞支持!!!

一、实现思路

通过长短token实现:短token用来请求应用数据,长token用于获取新的短token(长短指的是过期时间)

二、后端设计

  • 后端存有两个字段,分别保存长短token,并且每一段时间更新他们
  • 短token过期,返回 returncode:104;长token过期,返回 returncode: 108;请求成功返回returncode: 0;
  • 请求头中pass用来接收客户端长token,请求头中authorization用来接收客户端短token

1. 搭建node服务

创建一个新文件夹,通过vscode打开,运行:

npm init -y

安装koa

npm i koa -s

新建index.js

const Koa = require('koa')
const app = new Koa();

app.use(async(ctx,next)=>{ctx.body = "这是一个应用中间件";await next()
})

app.listen(4000,() => {console.log('server is listening on port 4000')
})

安装nodemon

npm i nodemon -g

配置package.json

"dev":"nodemon index.js",

运行:npm run dev 访问:127.0.0.1:4000,可以看到页面显示这是一个应用中间件

2. 使用路由中间件

安装

npm i koa-router -S

新建routes/index.js

const router = require("koa-router")();
let accessToken = "init_s_token"; //短token
let refreshToken = "init_l_token"; //长token

/* 5s刷新一次短token */
setInterval(() => {accessToken = "s_tk" + Math.random();
}, 5000);

/* 一小时刷新一次长token */
setInterval(() => {refreshToken = "l_tk" + Math.random();
}, 600000);

/* 登录接口获取长短token */
router.get("/login", async (ctx) => {ctx.body = {returncode: 0,accessToken,refreshToken,};
});

/* 获取短token */
router.get("/refresh", async (ctx) => {//接收的请求头字段都是小写的let { pass } = ctx.headers;if (pass !== refreshToken) {ctx.body = {returncode: 108,info: "长token过期,重新登录",};} else {ctx.body = {returncode: 0,accessToken,};}
});

/* 获取应用数据1 */
router.get("/getData", async (ctx) => {let { authorization } = ctx.headers;if (authorization !== accessToken) {ctx.body = {returncode: 104,info: "token过期",};} else {ctx.body = {code: 200,returncode: 0,data: { id: Math.random() },};}
});

/* 获取应用数据2 */
router.get("/getData2", async (ctx) => {let { authorization } = ctx.headers;if (authorization !== accessToken) {ctx.body = {returncode: 104,info: "token过期",};} else {ctx.body = {code: 200,returncode: 0,data: { id: Math.random() },};}
});

module.exports = router;

修改index.js

//删除
app.use(async(ctx,next)=>{ctx.body = "这是一个应用中间件";await next()
})
//新增
const index = require('./routes/index')
app.use(index.routes(),index.allowedMethods())

3. 跨域处理

安装

npm i koa2-cors

使用:

const cors = require('koa2-cors');

app.use(cors());

最终index.js文件

const Koa = require('koa')
const app = new Koa();
const index = require('./routes/index')

const cors = require('koa2-cors');

app.use(cors());

app.use(index.routes(),index.allowedMethods())

app.listen(4000,() => {console.log('server is listening on port 4000')
})

目录结构:

重新运行 npm run dev,这时服务端已准备好

三、前端设计

1. 定义使用到的常量

新建 config/constant.js

/* localStorage存储字段 */
export const ACCESS_TOKEN = "s_tk"; //短token
export const REFRESH_TOKEN = "l_tk"; //长token、
/* HTTP请求头字段 */
export const AUTH = "Authorization"; //存放短token
export const PASS = "PASS"; //存放长token

新建 config/returnCodeMap.js

// 在其它客户端被登录
export const CODE_LOGGED_OTHER = 106;
// 重新登陆
export const CODE_RELOGIN = 108;
// token过期
export const CODE_TOKEN_EXPIRED = 104;
//接口请求成功
export const CODE_SUCCESS = 0;

2. 封装服务

关键点:将token过期的请求,借助Promise将请求存进数组中,让这个Promise一直处于pending状态(即不调用resolve),当获取到新的短token时,再逐个重新请求

如果不保持promise链,就会当成一个新的请求,页面内容不会更新

安装axios

npm i axios -S

新建 service/index.js

import axios from "axios";
import { refreshAccessToken, addSubscriber } from "./refresh";
import { clearAuthAndRedirect } from "./clear";
import {CODE_LOGGED_OTHER,CODE_RELOGIN,CODE_TOKEN_EXPIRED,CODE_SUCCESS,
} from "../config/returnCodeMap";
import { ACCESS_TOKEN, AUTH } from "../config/constant";

const service = axios.create({baseURL: "//127.0.0.1:4000",timeout: 30000,
});

service.interceptors.request.use((config) => {let { headers } = config;const s_tk = localStorage.getItem(ACCESS_TOKEN);s_tk &&Object.assign(headers, {[AUTH]: s_tk,});return config;},(error) => {return Promise.reject(error);}
);

service.interceptors.response.use((response) => {let { config, data } = response;//retry:第一次请求过期,接口调用refreshAccessToken,第二次重新请求,还是过期则reject出去let { retry } = config;/* 延续Promise链 */return new Promise((resolve, reject) => {if (data["returncode"] !== CODE_SUCCESS) {if ([CODE_LOGGED_OTHER, CODE_RELOGIN].includes(data.returncode)) {clearAuthAndRedirect();} else if (data["returncode"] === CODE_TOKEN_EXPIRED && !retry) {config.retry = true;addSubscriber(() => resolve(service(config)));refreshAccessToken();} else {return reject(data);}} else {resolve(data);}});},(error) => {return Promise.reject(error);}
);

export default service;

新建 service/refresh.js

import service from "./index";
import { ACCESS_TOKEN, REFRESH_TOKEN, PASS } from "../config/constant";
import { clearAuthAndRedirect } from "./clear";

let subscribers = [];
let pending = false; //同时请求多个过期链接,保证只请求一次获取短token

export const addSubscriber = (request) => {subscribers.push(request);
};

export const retryRequest = () => {subscribers.forEach((request) => request());subscribers = [];
};

export const refreshAccessToken = async () => {if (!pending) {try {pending = true;const l_tk = localStorage.getItem(REFRESH_TOKEN);if (l_tk) {/* 重新获取短token */const { accessToken } = await service.get("/refresh",Object.assign({}, { headers: { [PASS]: l_tk } }));localStorage.setItem(ACCESS_TOKEN, accessToken);retryRequest();}return;} catch (e) {clearAuthAndRedirect();return;} finally {pending = false;}}
};

新建 service/clear.js

import {ACCESS_TOKEN} from '../config/constant'

/* 清除长短token,并定位到登录页(在项目中使用路由跳转) */
export const clearAuthAndRedirect = () =>{localStorage.removeItem(ACCESS_TOKEN)window.location.href = '/login'
}

3. 使用

这里使用react实现,使用vue效果一样

//App.js

import { useState } from "react";import service from "./service/index.js";import { ACCESS_TOKEN, REFRESH_TOKEN } from "./config/constant";const App = () => {const [data1, setData1] = useState();const [data2, setData2] = useState();const getData = () => {service.get("/getData").then((res) => {setData1(res.data.id);});service.get("/getData2").then((res) => {setData2(res.data.id);});};const getToken = () => {service.get("/login").then((res) => {//存储长tokenlocalStorage.setItem(REFRESH_TOKEN, res.refreshToken);//存储短tokenlocalStorage.setItem(ACCESS_TOKEN, res.accessToken);});};return (<div>{data1}--{data2}<button onClick={getData}>按钮</button><button onClick={getToken}>登录</button></div>);};export default App;

运行项目,查看效果

先点击登录按钮获取长短token,过5秒再去点击按钮,获取应用数据(上面后端设置了短token 5s过期)

页面数据能更新,并且refresh接口只调用一次

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线,这里来谈一下学习方法:
​ ## 视频学习

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的小强
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
一些token无感刷新的思考(附代码)
PleaseBeStrong的博客
05-21 1201
通过该定时器类,可以实现MyTimer.start 方法调用setInterval 间隔delay 时间步执行,判断当前的token过期时间是否小于我们设置的minCheck , 如果小于则使用refreshToken异步刷新token// delay为重复探查的间隔时间 , minCheck是判断token是否是快过期的// 如果存在token,判断是否过期// 假设有一个函数用于获取token的过期时间// 如果剩余时间小于等于5分钟,则异步发送刷新请求并更新token
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
实现Token无感刷新,React与Node.js
最新发布
gaotlantis的博客
05-25 855
Token无感刷新基本就实现完了,但我还发现了一个问题,暂时不知道怎么解决:在我测试的时候,如果有10个 并发的请求,后端处理后全都返回401,然后肯定会有第一个回到前端的请求触发token刷新,随后若是token刷新完成,flag已经置为true,还有后续请求没有来得及回到前端被添加到队列中,他又会重新进入刷新token的逻辑,会导致token的多次刷新。作者:林可like链接:https://juejin.cn/post/7372135071979487247来源:稀土掘金。
《PHP-token和refreshToken实现身份认证》
小霸王的博客
05-25 764
token和refreshToken实现身份认证:https://blog.csdn.net/Paulangsky/article/details/95048410 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实现的?App 又是怎么保持登录状态的? 二.实现思路 客户端在登录的时候带上设备的设备号、appId,并将其作为参数传递到服务端。服务
后端利用accessToken与refreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5357
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessToken和refreshToken
vue前后端分离单点登录,结合长token和短token进行登录
qq_42696432的博客
09-14 7833
在公司发展初期,公司拥有的系统不多,通常一个两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登陆,很方便,但是,随着企业的发展,用到的系统随之增加,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说很不方便,也是就想到是不是可以在一个系统登陆,其它系统就不用登陆了呢?那么单点登录就是解决这个问题。
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
小程序登录开发通常是调用wx.login获取code,然后发送到后台,后台请求微信拿到用户openId,然后根据openId查询用户,有就走登录流程然后返回token,没有则创建用户之后走登录流程然后返回token,也就是都需要返回一...
axios如何利用promise无痛刷新token的实现方法
10-16
在本文中,我们将深入探讨如何使用axios和Promise无痛地刷新token。首先,我们需要了解什么是axios和Promise。Axios是一个基于Promise的HTTP库,既可以用在浏览器,也可以用在Node.js环境中,它提供了丰富的API来...
请求时token过期自动刷新token操作
11-19
自动刷新`token`的流程通常是,当检测到一个请求因`token`过期而失败时,客户端自动向服务器发送刷新`token`的请求,获取新的`token`,然后用新`token`重试之前的失败请求。 在本文中,我们讨论的是使用`axios`库...
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
Java如何做到无感刷新token含示例代码(值得珍藏)
01-19
自动刷新Token后端处理的一种方式,当检测到Token即将过期时,服务器会在响应中附带一个新的Token前端接收到新Token后将其替换本地存储的旧Token。这种机制需要前后端协同工作: **后端实现方案** 首先,我们...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
token刷新token刷新token刷新
04-09
"Token刷新"是这个话题的核心,它涉及到用户身份验证的持续性和安全性。以下是关于Token刷新的详细知识: 首先,我们需要理解什么是TokenToken通常是一个由服务端生成的随机字符串,用于证明客户端(如用户浏览器...
vue的token刷新处理的方法
10-18
4. **发起刷新请求**:如果不存在正在进行的刷新请求,将 `isRefreshing` 标志设置为 `true`,然后使用 `refresh_token` 发送刷新请求到服务器。 5. **处理响应**:刷新请求成功后,更新 `token`,并通知所有等待的...
实现无感刷新token,我是这样做的
CRMEB小程序商城的博客
10-14 1820
前言 最近在做需求的时候,涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全,你可以用更好的方法。 前端:什么方法? 后端:给你刷新token的接口,定时去刷新token 前端:好,让我思考一下 需求 当token过期的时候,刷新token,前端需要做到无感刷新token,即刷token时要做到用户无感知,避免频繁登录。实现思路 方法一 后端返回过期时间,前端判断token过期时
token的处理
xg1201的博客
04-05 3813
首先在用户点击登入的时候,将用户名和密码传给服务器,服务器去对用户名和密码进校验,验证通过将token返回给前端前端拿到token后,将token存储到公共的状态管理工具中也就是vuex,然后再持久化到本地也就是存到localStrong中 有了token后,我们就可以做很多的事情, 比如说: 1、在请求拦截器中我们可以把token统一注入到请求头中 2、在进行页面跳转的时候,判断有无token,如果有就去对应的页面,如果没有就跳转到登录页 3、判断token的失效,当toke...
后端生成Token架构与设计详解
leeta的博客
08-02 483
目的:Java开源生鲜电商平台-Java后端生成Token目的是为了用于校验客户端,防止重复提交。 技术选型:用开源的JWT架构。 1.概述: 在WEB项目中,服务端和前端经常需要交互数据,有的时候由于网络响应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。 2.解决方法: ①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。 ②后端处理:对于每次提交到后台的数据必须校验,也就是通过前
前端面试题无感刷新token
04-05
这道题涉及到前端中的认证和授权问题,以及如何在前端中处理 token 刷新的问题。 认证和授权是指用户在访问系统资源时需要进行身份验证和权限验证。前端通常会在用户登录后返回一个 token,然后在每次请求时将 token 带上,服务端会通过 token 来判断用户是否有权限访问资源。 在使用 token 进行认证和授权时,由于 token 有一定的有效期限制,因此需要在 token 过期前进行刷新。在前端中可以通过定时器来定时检查 token 的有效期,当 token 即将过期时,发送一个刷新 token 的请求,获取新的 token,然后将新的 token 存储在本地,同时更新请求头中的 token。 以下是一个示例代码: ```javascript // 定义定时器,每隔一段时间检查 token 是否即将过期 let timer = setInterval(() => { let token = localStorage.getItem('token') let expiredTime = localStorage.getItem('expiredTime') if (new Date().getTime() > expiredTime - 60000) { // token 即将过期 refreshToken(token) } }, 1000) // 刷新 token 的函数 function refreshToken(token) { // 发送请求获取新的 token axios.post('/refreshToken', {token: token}) .then(res => { // 更新本地存储的 token 和过期时间 localStorage.setItem('token', res.data.token) localStorage.setItem('expiredTime', new Date().getTime() + res.data.expiresIn * 1000) // 更新请求头中的 token axios.defaults.headers.common['Authorization'] = 'Bearer ' + res.data.token }) } ``` 需要注意的是,当用户退出登录时,需要及时清空本地存储的 token 和过期时间,并停止定时器。 ```javascript function logout() { localStorage.removeItem('token') localStorage.removeItem('expiredTime') clearInterval(timer) } ``` 总之,前端刷新 token 的主要思路就是定时检查 token 的有效期,当即将过期时发送一个刷新 token 的请求,获取新的 token,然后更新本地存储的 token 和过期时间,并更新请求头中的 token

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值