实现token的无感刷新

置顶 已于 2023-07-23 15:02:47 修改
阅读量4k 收藏 45
点赞数 28
分类专栏: Vue 文章标签: vue.js 前端
于 2023-06-29 22:05:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70902093/article/details/131459328
版权

介绍

token:

  • 作用:在访问一些接口时,需要传入token,就是它。

  • 有效期:2小时(安全)。

refresh_token:

  • 作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。

  • 有效期:14天。(最理想的情况下,一次登陆可以持续14天。)

安全和体验

  • 从安全角度来看 token 必须要具有一定的时效性,失效后的 token 不再能标识用是登录状态。
  • 另外也要考虑用户的体验,例如用户在 token 失效的前 1 分钟打开小程序,用户浏览小程序 1 分钟后 token 失效,用户不得不再次去登录,这样的用户体验是极差的。
  • 为了既能保证安全性又兼顾用户体验,咱们需要能够自动刷新 token 的方法,即 refresh_token。

 refresh_token工作机制

  1. 用户在首次完成登录时会分别得到 token 和 refresh_token                                                       
  2. 当 token 失效后(例如2小时之后),调用接口A会返回 401 状态码(这是与后端约定好的规则)                                                                                                                                                                     
  3. 检测状态码是否为 401,如果是,则携带refreshToken去调用刷新token的接口                                                       
  4. 刷新 token 的接口后会返回新的 token 和 refreshToken                                                                                                              
  5. 把401的接口A重新发送一遍

注意:
refresh_token也是有过期时间的,只不过一般会比token过期时间更长一些。这就是为啥如果某个应用我们天天打开,则不会提示我们登录,如果是有几周或更长时间去打开时,会再次要求我们登录。
refresh_token一个更常见的名字叫token无感刷新。

refreshToken功能-基本实现

操作如下:

  1. 正常登录进入页面
  2. 在本地存储中直接修改localstorage的token值,模拟token失效。
  3. 刷新页面,重新发一次请求(此时请务必确保请求拦截器中的token是从本地存储中拿到的)
  4. 出现401错误。

主要代码 

// 响应拦截器
http.intercept.response = async ({ statusCode, data, config }) => {
  // debugger
  console.log(statusCode, data, config)
  // console.log(statusCode) // http 响应状态码
  // console.log(config) // 发起请求时的参数
  if (data.code === 401) {
    const app = getApp()
    // 调用接口获取新的 token
    const res = await http({
      url: '/refreshToken',
      method: 'POST',
      header: {
        Authorization: 'Bearer ' + app.getToken('refreshToken'),
      }
    })

    app.setToken('token', res.token)
    app.setToken('refreshToken', res.refreshToken)
    config = Object.assign(config, {
      header: {
        // 更新后的 token
        Authorization: 'Bearer ' + res.token,
      },
    })
    // 重新发请求
    return http(config)
  }
  // 拦截器处理后的响应结果
  if (data.code === 10000) {
    return data.data
  } else {
    wx.$toast(data.message || '请求失败')
    return Promise.reject(data.message)
  }
}

当refreshToken也过期时做特殊处理

改进

代码

// 响应拦截器
http.intercept.response = async ({ statusCode, data, config }) => {
  // debugger
  console.log(statusCode, data, config)
  // console.log(statusCode) // http 响应状态码
  // console.log(config) // 发起请求时的参数
  if (data.code === 401) {
    if (config.url.includes('/refreshToken')) {
      console.log('/refreshToken过期了')
      // 获取当前页面的路径,保证登录成功后能跳回到原来页面
      const pageStack = getCurrentPages()
      const currentPage = pageStack.pop()
      const redirectURL = currentPage.route
      // 跳由跳转(登录页面)
      wx.redirectTo({
        url: '/pages/login/index?redirectURL=/' + redirectURL,
      })
      return Promise.reject('refreshToken也过期了,就只能重新登录了')
    }
    const app = getApp()
    // 调用接口获取新的 token
    const res = await http({
      url: '/refreshToken',
      method: 'POST',
      header: {
        Authorization: 'Bearer ' + app.getToken('refreshToken'),
      }
    })

    app.setToken('token', res.token)
    app.setToken('refreshToken', res.refreshToken)
    config = Object.assign(config, {
      header: {
        // 更新后的 token
        Authorization: 'Bearer ' + res.token,
      },
    })
    // 重新发请求
    return http(config)
  }
  // 拦截器处理后的响应结果
  else if (data.code === 10000) {
    return data.data
  } else {
    wx.$toast(data.message || '请求失败')
    return Promise.reject(data.message)
  }
}

大功告成! 

GG--Bond
关注
  • 28
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
使用设计模式优雅地管理Token更新,Linux运维性能优化之APK优化
最新发布
2401_83974660的博客
04-16 166
策略模式主要是定义一系列算法,并将每一个算法封装起来,使它们可以相互替换。在Token刷新的场景中,不同的服务或API可能有不同的刷新机制。这样,一旦检测到Token即将过期,就会通知所有观察者进行更新。
《使用ThinkPHP6开发项目》 - ThinkPHP6使用JWT生成Token
把项目开发中遇到的问题记录下来
12-15 807
ThinkPHP6使用JWT生成Token流程
前端如何实现token无感刷新
xiangzhihong8的专栏
10-22 839
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
关于实现token无感刷新的解决方案
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
token无感刷新
wyh666csdn的博客
01-09 2759
最近遇到个需求:前端登录后,后端返回和,当token过期时要求用旧token去获取新的token前端需要做到无痛刷新token,即请求刷新token时要做到用户无感知。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 2276
无感刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token无感刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
VUE前端实现token无感刷新
老电影故事的博客
08-30 8325
说实话,这个其实没啥好讲的,要说有复杂度的话,也主要是在后端。实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的token进行覆盖,让用户感受不到token已过期。
Refresh Token介绍
热门推荐
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
token刷新问题
qq_54951190的博客
10-24 2169
双拦截器实现token刷新问题
vue的token刷新处理的方法
10-18
主要介绍了vue的token刷新处理的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
jq 无刷新页面
01-06
看一遍以后什么都会了jq 无刷新页面!看一遍以后什么都会了jq 无刷新页面!
Android token过期刷新处理的方法示例
08-26
主要介绍了Android token过期刷新处理的方法示例,本文详细的介绍了2种方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
MJRefresh无感刷新
07-11
MJRefresh无感刷新 项目开发中用了MJRefres 刷新控件,每次上拉的时候都有个菊花转,需要下拉一下才能看到下一页的数据。产品提出需求,希望列表往下拉能直接出现下一页的数据,不需要出现加载的动画和等待时间。于是着手看了一下MJRefresh的源码,发现其提供了无感刷新(自动刷新)的方法。
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Android OkHttp实现全局过期token自动刷新示例
01-20
这个过程应该说对用户来说是无感的。 这个过程用流程图可以这样表示: 自动更新token流程 要实现上述需求的话,大家会如何实现呢? 首先讲一下Token和Cookie吧 – cookie cookie是保存在本地终端的数据。cookie由...
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无感刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GG--Bond

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值