【我不熟悉的javascript】02. 使用token和refreshToken的管理用户登录状态

已于 2022-09-01 21:03:00 修改
阅读量2.6k 收藏 11
点赞数 6
分类专栏: js 文章标签: 前端
于 2022-09-01 20:51:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17335549/article/details/126649702
版权

每日鸡汤:但凡你狠心一点,偷偷流泪的人就不是你

目录

前言

一、token 是什么    

1. 使用JWT(json web token)

2. 为什么用token验证?

二、使用refreshToken

1. 刷新token

2. 实战,在axios中使用refreshToken

总结

前言

一个简单的带有用户登录系统网页,token用来验证用户,refreshToken则是在用户token过期之后刷新用户token,进而保持登录状态的字段。

一、token 是什么    

1. 使用JWT(json web token)

我们常说的token,在我们前端看来,就是后台接口返回给我们的一串base64的字符串,我们只需要使用就可以了。

但是你知道这个字符串代表什么嘛?这就是传说中的JWT ( json web token),使用jwt token,我们经常可以简称为使用token做验证,因为jwt应用广泛,而且安全性比较高。

关于token如何生成,以及各个部分的作用,可以自行学习

JSON Web Token 入门教程 - 阮一峰的网络日志https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html总之我们必须要知道的几点是:

  1. token 保存了用户的信息和用户唯一的签名 ,由后台的登录接口返回给我们前端
  2. 我们前端需要保存token信息,在后续的请求中带在http请求的头部,一般是Authorization字段
  3. token有有效期,而且比较短,过期了需要重新申请

我们随意找一个使用token验证网站的请求来看一下:

在使用token进行验证的时候,需要注意的是:最好是token存在localstorage,而不是cookie中,因为cookie会在每次请求的时候带上,没必要,那我们不如用cookie做验证了

2. 为什么用token验证?

面试必考题,为什么使用token验证,而不是使用cookie和session

题外话,这里面的session,是值得后端的服务中的session,和我们前端的sessionstorage没有半毛钱关系,不要被名字忽悠了,有后端开发经验的同学应该知道,后端可以创建session连接,用来保存当前连接的用户信息等。

所以我们一般所说的cookie验证,其实是cookie/session的缩写,也就是【客户端client  / 服务端sever】对应的技术的缩写。客户端使用cookie,服务端使用session,我们前端同学经常会省略掉对服务器端server用的session的描述。 就说我们这个系统用的是cookie验证。

cookie/session的认证方式存在安全的问题

  1. csrf (暂时不多解释)
  2. xss攻击
  3. 浏览器禁用cookie,则无法认证
  4. session存放用户信息,并且存在服务器上,且不能跨服务器,会增加服务器压力 

而使用token验证就没有这些问题

  1. token认证是无状态的,只需要每次请求携带即可
  2. 服务器不会存用户的信息,没压力,
  3. 服务器只会根据下次请求头的字段进行验证,如果客户端没有携带Authorization,那么很简单,就是验证未通过。

二、使用refreshToken

1. 刷新token

基于安全的考虑,token必须设置有效期,假设token 过期时间1天,refreshToken过期时间需要长一点5天,那么今天登录后,明天token就过期了,这个时候需要使用refreshToken请求刷新token的接口,得到新的token和新的refreshToken。这样在用户角度上看,我的网站貌似一直处于登录状态,很方便!!

同时,refreshToken也会过期,如果连refreshToken也过期了,那就没办法了,只能劳烦用户重新登录了,记住就像食品有保质期一样,任何用于验证的token都需要有有效期,只是时间长短的不同。

为了能够请求接口,并且在token过期之后刷新token,我们需要将token和refreshToken都存在本地,一般是localstorage中就可以。

2. 实战,在axios中使用refreshToken

说了一大堆话,我们还是要关心到底怎么用这个refreshToken,首先肯定是不能让用户看见的暗地里进行的操作,给用户一种我一直处于登录状态的“错觉”。

所以我们一般在请求的拦截器中使用,假设我们使用的是axios这个插件,那么在我们封装的请求的时候设置一些拦截器,肯定是在reponse中设置,因为只有我们把请求发出去了,服务器才能给我们判断我们请求header中携带的token是否过期。注意!token是否过期是服务器判断的,如果过期了一半会返回状态码401  。我们就在这个时候拦住它!!行,服务器老兄,刚才给你的token,你说过期了,那我就刷新一下获取个新的,然后再用新的请求。

这个是axios官方给的response拦截器的模版

// Add a response interceptor
axios.interceptors.response.use(function (response) {
    // Any status code that lie within the range of 2xx cause this function to trigger
    // Do something with response data
    return response;
  }, function (error) {
    // Any status codes that falls outside the range of 2xx cause this function to trigger
    // Do something with response error
    return Promise.reject(error);
  });

我们只需稍加改造:

import axios from 'axios';

let authorizing = false;
// 定义一个请求队列,方便我们刷新后重新请求
let authQueue = [];

axios.interceptors.response.use(
  function (response) {
    return response;
  },
  function (error) {
    // token 过期 401 肯定是走到error这里的
    const { status } = response;
    if (status !== 401) {
      return Promise.reject(error);
    }
    const token = localstorage.getItem('TOKEN'); // 假设token存在localstorage
    if (token) {
      // 如果正在刷新token就返回
      // 并且把当前这个不是刷新token的请求放入请求队列中,用于后续重新请求
      if (authorizing) {
        return new Promise((resolve, reject) => {
          authQueue.push({
            req: error.raw.config,
            resolve,
            reject,
          });
        });
      }
      // 如果不是正在刷新,并且,获取到本地存储的token,和当前请求头携带的一致,就开始刷新
      if (token === error.raw.config.headers.Authorization && !authorizing) {
        // 这是个异步请求的方法  这个方法后面会实现
        startRefreshToken((newToken) => {
          // 这个刷新的方法有一个回掉函数,参数是新的token,用于重新请求
          authorizing = false; // 刷新完毕,修改状态
          if (newToken) {
            // 开始使用新token,重新请求
            authQueue.forEach((item) => {
              item.req.headers = item.req.headers || {};
              item.req.headers.Authorization = newToken;
              axios.request(item.req).then(item.resolve).catch(item.reject);
            });
          } else {
            // 没有新的token, 也就是说本地存的refreshToken也过期了,队列中的每个请求都抛出错误信息
            authQueue.forEach((item) => {
              item.reject('登录过期', error.raw);
            });
          }
          authQueue.length = 0; // 清空请求队列,没错数组可以通过修改长度清空,这个没有不知道的吧
        });
        return new Promise((resolve, reject) => {
          authQueue.push({
            req: error.raw.config,
            resolve,
            reject,
          });
        });
      }

    
      // 如果token 已经更新了,或者 没有正在刷新token ,就重新请求当前的请求

      // 这一步的目的是保留headers上面的其他信息, 同时可以用下一句更新header.Authorization
      error.raw.config.headers = error.raw.config.headers || {};
      error.raw.config.headers.Authorization = token; // 这个是已经更新了的token
      return axios.request(error.raw.config); // 重新请求
    }
    return Promise.reject(error);
  }
);

现在来实现startRefreshToken,刷新token的方法,要求

  1. 请求接口
  2. 请求成功,要把新token和新的refreshToken存在本地,供下次请求使用
  3. 有一个回调函数,供重新请求用,并把新token作为参数传过去

// 是否正在刷新,如果是,就返回,不要重复刷新了
let refreshing = false;
//回调函数的数组,因为请求是源源不断的发的,肯定要都拦截,都要重新请求,所以要暂存一下
let callbacks = [];
async function startRefreshToken(callback) {
  if (callback) {
    callbacks.push(callback); // 暂存当前请求的callback
  }
  if(refreshing) {
    return;
  }
  refreshing = true;
  let newToken = '';
  let errMsg = '';
  try {
    // 获取我们存在本地的refreshToken
    const oldRefreshToken = localStorage.getItem('REFRESH_TOKEN');
    if (oldRefreshToken) {
      const { data } = await axios.post(
        'xxx', // 这个是你们后端的api
        {
          refresh_token: oldRefreshToken,
        },
        {
          headers: {}, // 刷新token的请求headers肯定不要携带Authorization字段
        }
      );
       
      // 这是新返回的token和refreshToken,注意refreshToken也会更新
      const { token, refreshToken } = data

      newToken = token; // 给callback调用

      // 更新本地的存储的值, 这之后还可以用来修改vuex里的值,反正你有新token了,随你干点啥
      localStorage.setItem('TOKEN', token);
      localStorage.setItem('REFRESH_TOKEN', refreshToken);
    }
  } catch (err) {
    errMsg = err.message;
    console.log(errMsg)
  }
  // 执行所有的回调函数
  callbacks.forEach((callback) => {
    // 如果本地存的refreshToken过期了,到这一步  newToken = ''
    callback(newToken); 
  });
  
  // 清空回调函数的数组
  callbacks.length = 0;
  // 重置状态
  refreshing = false;
}

好了,大功告成!!

总结

刷新token是一个必备技能,一定要学会啊,朋友们!!而且好好用心看一遍,真的一点都不难,主要的关键在于如何重新请求已经发送的请求。

就是那个请求队列authQueue感觉很关键,然后就是回调函数需要有。

我有一棵树
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口,保持登录状态。 这是使用TokenRefreshToken的流程图。
token和refresh token
weixin_30776545的博客
07-22 535
https://www.cnblogs.com/minirice/p/9232355.html 在spring boot中结合OAuth2使用JWT时,刷新token时refresh token一直变化的原因 https://www.jianshu.com/p/2ccc5cee3cf2 Spring cloud oauth2.0 access_token 永不失效设置方法 https://...
刷新令牌--refresh token
最新发布
生命不息,学习不止
05-29 330
刷新令牌token
token与refresh token
luminita_的博客
10-09 5339
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
Token和Refresh Token
weixin_44153131的博客
02-14 3138
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录
关于token和refresh token
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
APP使用tokenrefreshToken实现接口身份认证,保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 中的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以...
vue的token刷新处理的方法
10-18
在涉及到用户认证和权限管理时,`token` 是一种常见的身份验证机制。本文将详细介绍如何在 Vue 应用中处理 `token` 的刷新,以确保用户在 `token` 过期后仍能保持登录状态,提供良好的用户体验。 `token` 身份验证...
Node.js-一个基于token的验证登录
08-09
在本文中,我们将深入探讨如何使用Node.js、Vue.js和MongoDB实现基于Token的验证登录系统,特别是通过JSON Web Tokens(JWT)进行身份验证。这是一个常见的Web应用安全实践,能够确保用户信息的安全,并且便于跨域...
vue-token:vue.js中的简单令牌存储授权
04-27
Vue代币 vuejs中的简单令牌存储/授权。 该插件要求您首先初始化... refresh: false // Utilize the automatic refresh of tokens (it will use the token from response.token as the new token) } 示例组件 [removed]
refreshtoken_tester:OAuth2刷新令牌测试仪
05-05
refreshtoken_tester OAuth2刷新令牌测试仪 在config.js中重命名config_template.js并设置您的值 根据您的授权服务器设置调整时间设置,以测试不同的行为。 节点index.js或节点调试index.js(如果已安装节点检查器...
Oauth2.0(三):Access Token 与 Refresh Token
05-23 694
  access token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。   然而引入了有效期之后,客户端使用起来就不那么方便了。每当 access tok...
tokenrefreshtoken
LINDYING的博客
05-11 1188
tokenrefreshtoken
《PHP-tokenrefreshToken实现身份认证》
小霸王的博客
05-25 764
tokenrefreshToken实现身份认证:https://blog.csdn.net/Paulangsky/article/details/95048410 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实现的?App 又是怎么保持登录状态的? 二.实现思路 客户端在登录的时候带上设备的设备号、appId,并将其作为参数传递到服务端。服务
使用token维持用户登录状态的原理及其实现方法
grand_brol的博客
08-24 2997
1、生成token,并返回给客户端 首先用户在客户端进行登录,发送请求给服务端,服务端验证用户和密码是否正确,完全一致后,服务端会生成一个当前用户所对应的一个token值,并在响应中将其返回给客户端。 2、客户端将该token值进行存储 3、携带token发送请求 后续客户端发送请求时,就会携带这个token。 4、服务器端验证token 当服务器拿到客户端提供的token值后,会判断其是否存在,如果存在则会返回对应用户所需要的数据。 ...
前后端处理实时刷新refresh_token使用
热门推荐
qq_41522141的博客
03-23 1万+
实现方案 后端生成两个tokentoken和refresh_token),token有效时间短,refresh_token有效时间长; 前端请求登录后,后端把这两个token传给前端,前端缓存下来; token未到期,前端可正常请求。 token过期,后端会返回与前端约定好的相关参数(比如,响应码401),前端在返回拦截器中判断拦截,并将refresh_token替换掉已经失效的token去调用api_refresh_token的接口请求。后端则判断refresh_token是否过期。 (1)refre
refresh token作用与使用方式vue2.0
m0_56683897的博客
07-21 1078
通常情况来说,token失效会设计两种情况:1.token在浏览器储存时间过长,过期失效;2.同一个账号只能在一个浏览器登录存储token,在其他浏览器登陆上一个浏览器的账号会被抢占下线。由于不停的更新token,对于浏览器来讲,负载是非常大的,对于用户来说,体验感也不好,试想使用手机时,每隔10分钟锁一次屏,所以我们用到另个一保存token状态的refresh token,来保持token的有效性。
JWT中RefreshToken的应用场景及刷新token的具体实现思路
isFuong的博客
03-17 1万+
在JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。 试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时, 你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点, 这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重新登录了,你说气不气? 这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshTo
rest_framework_jwt 如何使用refresh token进行token续期
06-09
使用 `rest_framework_jwt` 进行 token 续期需要执行以下步骤: 1. 在 `settings.py` 中添加 `JWT_ALLOW_REFRESH` 配置项: ```python JWT_AUTH = { # ... 其他配置项 ... 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), } ``` 其中,`JWT_ALLOW_REFRESH` 配置项表示是否允许使用 refresh token 进行 token 续期,`JWT_REFRESH_EXPIRATION_DELTA` 配置项表示 refresh token 的有效期,这里设置为 7 天。 2. 在 `urls.py` 中添加 `refresh_jwt_token` 视图的路由: ```python from rest_framework_jwt.views import refresh_jwt_token urlpatterns = [ # ... 其他路由 ... path('api/token/refresh/', refresh_jwt_token), ] ``` 3. 在前端代码中,当 token 过期后,使用 refresh token 进行 token 续期。示例代码如下: ```javascript const refreshToken = localStorage.getItem('refreshToken'); if (refreshToken) { fetch('/api/token/refresh/', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ refresh: refreshToken }), }) .then((response) => response.json()) .then((data) => { localStorage.setItem('accessToken', data.access); localStorage.setItem('refreshToken', data.refresh); }) .catch((error) => { console.error('Failed to refresh token', error); }); } else { console.error('No refresh token found'); } ``` 在上面的代码中,我们首先从本地存储中获取 refresh token,然后使用 `fetch` 发送 POST 请求到 `/api/token/refresh/` 视图,将 refresh token 作为请求体的 `refresh` 参数。在成功获取到新的 access token 和 refresh token 后,我们将它们保存到本地存储中。 希望这可以帮助你理解如何使用 `rest_framework_jwt` 进行 token 续期。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值