前端Token管理(获取、过期处理、异常处理及优化)

置顶 已于 2022-06-13 10:44:20 修改
阅读量1.1w 收藏 105
点赞数 17
分类专栏: 杂项 文章标签: javascript typescript
于 2020-11-22 19:56:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32930863/article/details/109961853
版权

本文实例代码使用的是vue+axiosÏ

什么是Token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

请求后台返回的登录数据一般情况如下

{
    access_token:"加密的字符串",
    expires_in:"7200",
    refresh_token:"加密的字符串",
}
  • access_token (访问令牌,用于资源访问)
  • refresh_token ( 当访问令牌失效,使用这个令牌重新获取访问令牌)
  • expire_in( access_tokenÏ过期时间)

基本使用

因为业务模式多种多样所以使用方法也是有很多的(ps:主要是后端想要什么,我们就给什么),比较常见的是Header中携带Token。

Token获取及使用

  • 接口封装
    /**
 * 用户请求模块
 */
export const login = (dataÏ) => request({
  url: '/front/user/login',
  method: 'POST',
  data: qs.stringify(data)
})
  • VueX基本使用
    export default new Vuex.Store({
  state: {
    // 初始化
    user: null
  },
  mutations: {
    // 设置用户登录信息
    setUser(state, payload) {
      //因目前后端返回的是json字符串,所以我转义了一下
      payload = JSON.parse(payload)
      //如果pyload中没有过期时间并且存在过期时间长度
      if (!payload.expires_at && payload.expires_in) {
        //设置过期时间
        payload.expires_at = new Date().getTime() + payload.expires_in * 1000
      }
      //赋值
      state.user = payload
    }
  },
  actions: {
  },
  modules: {
  }
})
  • 登录页面使用(伪代码)
    import Vue from 'vue'
import { login } from '@/services/user'
export default Vue.extend({
  name: 'LoginIndex',
  data() {
    return {
      formData: {
        phone: '18201288771',
        password: '111111'
      }
    }
  },
  methods: {
    async submit() {
      try {
        const { data } = await login(this.formData)
        // 处理请求结果
        if (data.state !== 1) {
          this.$message.error(data.message)
        } else {
          // 使用vuex中的setUser共享登录信息
          this.$store.commit('setUser', data.content)
          this.$message.success('登录成功')
        }
      } catch (error) {}
      this.isLoading = false
    }
  }
})
  • axios请求拦截器
    // 请求拦截器,每一个请求都会经过此拦截器。
request.interceptors.request.use((config) => {
  // 在请求的header中设置token
  config.headers.Authorization = store.state?.user?.access_token
  return config
}, (error) => {
  return Promise.reject(error)
})

优化——授权过期登录重新返回页面

在这里插入图片描述

request.js中
// 跳转至首页封装
const redirectLogin = () => {
  router.push({
    name: 'login',
    query: {
      // 通过参数传 登录成功后的跳转地址
      redirect: router.currentRoute.fullPath
    }
  })
}
登录页面
 methods: {
    // 登录请求方法
    async submit() {
      try {
        const { data } = await login(this.formData)
        // 处理请求结果
        if (data.state !== 1) {
          //..... 登录失败处理逻辑
        } else {
          //..... 登录成功处理逻辑
          // 登录成功后进行路由跳转
          this.$router.push((this.$route.query.redirect as string) || '/')
        }
      } catch (error) {}
    }
}

优化——页面刷新Token丢失

export default new Vuex.Store({
  state: {
    // 初始化时从本地存储中获取
    user: JSON.parse(window.localStorage.getItem('user') || 'null')
  },
  mutations: {
    //设置用户登录信息
    setUser(state, payload) {
     //因目前后端返回的是json字符串,所以我转义了一下
      payload = JSON.parse(payload)
      //如果pyload中没有过期时间并且存在过期时间长度
      if (!payload.expires_at && payload.expires_in) {
        //设置过期时间
        payload.expires_at = new Date().getTime() + payload.expires_in * 1000
      }
      //赋值
      state.user = payload
      //每次设置用户登录信息都存储值本地存储
      window.localStorage.setItem('user', JSON.stringify(payload))
         }
  },
  actions: {
  },
  modules: {
  }
})

过期维护

过期维护存前端存在两种方式

  • 在请求发起前拦截每个请求,判断token的有效时间是否已经过期。若已过期,则将请求挂起,先刷新token后在继续请求。
    • 优点:请求前拦截,节省请求及流量
    • 缺点:需要后端额外提供过期时间字段,若本地时间与服务器时间不一致可能存在拦截失败。
  • 不在请求前拦截,而是拦截返回后的数据。先放弃请求,接口返回过期后,先刷新token,在进行一次重试。
    • 优点:不需要额外的token过期字段及判断时间
    • 缺点:会消耗多一次请求,耗流量

请求发起前拦截

// 跳转首页逻辑
const redirectLogin = () => {
  router.push({
    name: 'login',
    query: {
      redirect: router.currentRoute.fullPath
    }
  })
}

// 刷新token后的任务队列
let refreshTokenArray = []

/**
 * 刷新token,重新请求
 */
const refreshTokenFn = async () => {
  // 判断是否有刷新token
  const refreshToken = store.state?.user?.refresh_token || ''
  // 如果刷新token存在
  if (refreshToken) {
    // 使用重新创建的axios请求,防止递归调用
    const { data } = await axios.create()({
      method: 'POST',
      url: '/front/user/refresh_token',
      data: qs.stringify({
        refreshtoken: refreshToken
      })
    })
    //如果获取token失败 抛出异常
    if (!data.content) throw new Error('refreshToken is faild')
    // 重新设置token
    store.commit('setUser', data.content)
    return true
  }
  throw new Error('refreshToken not find')
}

// 请求拦截器
request.interceptors.request.use(async (config: Config) => {
  // 获取用户登录信息
  const user = store.state?.user
  // 判断access_token 是否过期且接口是否需要token
  if (config.isAuthToken && user.expires_at < new Date().getTime()) {
    // 是否正在执行刷新token
    if (!refreshTokenLoding) {
      try {
        //刷新token锁为true
        refreshTokenLoding = true
        await refreshTokenFn()
        // 执行获取token后的任务队列
        refreshTokenArray.forEach(item => item())
        //清空任务队列
        refreshTokenArray = []
        return config
      } catch (error) {
        // 如果刷新失败跳转登录页面
        redirectLogin()
      } finally {
        // 无论成功失败消除
        refreshTokenLoding = false
      }
    } else {
      // 如果这正在刷新,返回一个 Promise ,并向刷新token成功后执行队列push 函数.
      return new Promise(resolve => {
        refreshTokenArray.push(() => {
          // 返回config请求对象
          resolve(config)
        })
      })
    }
  }
  return config
})

请求发起后拦截

//相应拦截器
request.interceptors.response.use((response) => {
  // 2xx 会进入这里
  return response
}, async (error) => {
  // 判断是否是授权错误
  if (error.response === 401) {
    // 是否正在刷新
    if (!refreshTokenLoding) {
      refreshTokenLoding = true
      // 尝试使用 refresh_token 获取新的 access_token
      try {
        // 执行刷新token
        await refreshTokenFn()
        // 执行刷新后任务队列
        refreshTokenArray.forEach(item => item())
        //清除任务队列
        refreshTokenArray = []
        // 重发当前请求
        return request(error.config)
        // 如果成功 则重发上次请求
      } catch (error) {
        // 如果失败 跳转至登录
        redirectLogin()
      } finally {
        refreshTokenLoding = false
      }
    } else {
      // 如果当前正在请求
      return new Promise(resolve => {
        // 当前请求的config投递至刷新后的任务队列中
        refreshTokenArray.push(() => {
          resolve(request(error.config))
        })
      })
    }
  }
  //... 其他异常捕获
})

结束语

虽然token大家平常工作中都会使用,但是我见过太多的项目token使用上存在误区。例如为了避免token过期问题,让token的有效期为一周,还有些人甚至设置了一年(手动滑稽)。还有一些人只设置了拦截器,例如请求发现token过期或者后端返回了401,直接让用户跳转至登录页面,这样的用户体验真的很不优化。

代码地址: https://gitee.com/a20070322/edu-boss-fed

赵忠洋
关注
  • 17
    点赞
  • 105
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
前端应该学习的 Token 登录认证知识
04-12 382
使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:1.前端使用用户名跟密码请求首次登录2.后服务端收到请求,去验证用户名与密码是否正确3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个Token,再把这个Token发送给前端4.前端收到 返回的Token,把它存储起来,比如放在Cookie里或者里resources?: string[];5.前端每次路由跳转,判断有无token,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;
【前后端交互】token过期验证策略(express+axios)
qq_34838046的博客
10-16 1343
文章目录逻辑服务端保存tokentoken更新部分代码校验token校验中间件 逻辑 登录时,服务端生成token,保存并返回token前端保存token 退出时,服务端删除服务端token。 发送请求时,前端携带token,服务端校验token并与保存的token对比。 校验token token过期,正常返回。 token接近过期,服务端重新生成token并返回,前端更新tokentoken过期,判断token与服务器保存的token是否相同。 若相同,则token正常过期,生成token,保
前端Token管理(获取过期处理异常处理优化)_前端登录登录过期
2401_85013615的博客
05-15 1382
/ 如果这正在刷新,返回一个 Promise ,并向刷新token成功后执行队列push 函数.// 判断access_token 是否过期且接口是否需要token。// 在请求的header中设置token。// 通过参数传 登录成功后的跳转地址。//如果获取token失败 抛出异常。// 执行获取token后的任务队列。// 刷新token后的任务队列。// 是否正在执行刷新token。// 判断是否有刷新token。//刷新token锁为true。// 登录成功后进行路由跳转。
JWT下token过期处理策略
最新发布
weixin_43993064的博客
05-28 799
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
Vue刷新token,判断token是否过期、失效的最简便的方法
qq_28217861的博客
05-09 7879
Vue刷新token,判断token是否过期、失效的最简便的方法 刷新tokentoken是否过期的操作都是由后端实现,前端只负责根据code的不同状态来做不同的操作: 一、判断token是否过期、失效 举例:一般响应状态码 code :0,表示请求成功。①响应状态码 code:10010表示token过期 ②响应状态码 code:10011 表示token无效。这些状态码都由你自己和后端的同学一起定义。code等于10010和10011这两种状态都会跳转到登录页,重新进行登录获取最新的token。 二
token处理
xg1201的博客
04-05 3810
首先在用户点击登入的时候,将用户名和密码传给服务器,服务器去对用户名和密码进校验,验证通过将token返回给前端前端拿到token后,将token存储到公共的状态管理工具中也就是vuex,然后再持久化到本地也就是存到localStrong中 有了token后,我们就可以做很多的事情, 比如说: 1、在请求拦截器中我们可以把token统一注入到请求头中 2、在进行页面跳转的时候,判断有无token,如果有就去对应的页面,如果没有就跳转到登录页 3、判断token的失效,当toke...
数据交互系列:简述token和如何使用token
Code_King006的博客
07-31 2588
欢饮各位大神和同行指点❤
Access Token 访问令牌 的获取与使用
热门推荐
IT小郭的技术博客
04-24 1万+
三方库导入时,通常需要输入账号和令牌进行鉴权。账号为指定平台的 HTTP 克隆账号,访问令牌即 Access Token,本文介绍如何获取常见三方代码平台的Access Token
vue+tp5+token.zip
06-23
6. **错误处理**:当Token无效或过期时,服务器应返回合适的HTTP状态码(如401 Unauthorized)和错误信息,Vue前端根据这些信息可以做出相应处理,如重新登录。 7. **刷新Token策略**:为了平衡用户体验和安全性,...
前端】Vue 路由权限控制.docx
12-17
6. **异常处理**:在鉴权过程中,可能会遇到各种异常,比如令牌过期或无效,这时需要正确处理并引导用户重新登录。 7. **其他功能**:在上述基础上,还可以扩展其他功能,比如全屏控制。如果路由元信息(meta)中有...
Jpom项目监控软件-其他
06-12
【Server】完善 JWT token 过期自动续签功能 【Server】添加前端页面引导系统(使用 introJs) 【Server】访问 ip 限制,支持配置白名单和黑名单来控制 ip 访问权限 【Server】添加服务自启动脚本创建方案,下面贴...
获取access_token
09-21
微信官方给出的示例代码有几个方法在本地用不了,经过3天的资料筛查,找到合适方法,分享给大家,前台直接用ajax获取就ok了,可怜了我这个前端程序猿,555
微信小程序对接七牛云存储的方法
12-02
- 前端可以通过调用后端接口获取Token,或者将接口URL直接传递给七牛的上传函数。 4. **引入七牛JS SDK**: - 下载七牛社区SDK,找到适用于小程序的`qiniuUploader.js`文件,并将其导入到需要上传的页面。 - 这...
支付宝授权登陆demo
08-03
Refresh Token的有效期通常较长,但也有过期时间,需要妥善保存和管理。 六、获取用户信息 有了有效的Access Token,开发者可以调用支付宝的API接口,获取用户的公开信息,如昵称、头像等。这些信息可以用于在第三...
Spring Security中Token存储与会话管理:解析与实践
jakelihua
12-14 758
在Web开发中,Spring Security提供了丰富的支持,特别是在身份验证和授权方面。本文将深入探讨Token的存储位置、会话管理和Cookie、Session、Token的区别,以及它们在实际应用中的应用场景。
前端请求SDK_前端应该知道的web登录
weixin_39571749的博客
11-20 317
当时做登录这块的时候,被session、cookie、token各种概念差点整蒙圈了,上网查询相关概念,发现很多人都是类似的疑惑,比如:来了字节跳动之后,前端很少接触HTTP请求之后的事情,而且登录相关的SDK封装的很好,所以这篇文章就简单的学习记录一下。为什么会有登录这回事首先这是因为HTTP是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就...
vue实际运用六:处理token过期
GTbond的博客
12-24 1万+
vue实际运用六:处理token过期 1. 后端为了安全,token一般存在有效时间,当token过期,所有请求失效 解决方案: 1)在请求发起前拦截每个请求,判断token的有效时间是否已经过期,若已过期,则将请求挂起,先刷新token后再继续请求。 优点: 在请求前拦截,能节省请求,省流量 缺点: 需要后端额外提供一个token过期时间的字段;使用了本地时间判断,若本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败 使用方法:axios.interceptors.request.use() 这
用vuex对token/refresh_token 进行管理以及处理token过期问题
m0_49515138的博客
11-17 3235
就是用户在进入白名单页面时,比如说首页或者其他不需要个人信息页面时,是不需要登录的,如果在没有登录的情况下,想要进入类似于个人中心,会员中心这种页面时,那么就需要让用户去登录页面登录一下,登录完成之后再返回刚刚要去的个人中心页面,这时候就是在路由跳转的时候,带上刚刚页面的路由路径,可以在登录完成之后原路返回。非但必须有个过期时间,而且过期时间还不能太长,那么重新获取有两种方式,一是重复第一次获取token的过程(比如登录,扫描授权等) ,这样做的缺点是用户体验不好,每一小时强制登录一次几乎是无法忍受的。
搞懂 JWT 这个知识点
程序员成长指北
09-22 650
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
token过期前端怎么处理
07-27
对于前端来说,当 token 过期时,可以采取以下几种处理方式: 1. 检测到 token 过期后,可以强制用户重新登录获取新的有效 token。这通常是最常见也是最安全的处理方式。用户在登录页面输入正确的凭证后,前端向后端发送请求,后端验证凭证的有效性并颁发新的 token。 2. 弹出提醒框或提示消息,告知用户 token过期,并提供重新登录的选项。这样用户可以选择是否继续操作,或者点击重新登录按钮重新获取有效 token。 3. 在请求发送前,检测 token 的有效性。前端可以在每个需要认证的请求发送前,检查 token 是否过期。如果过期,则立即执行重新登录操作或者跳转至登录页面。 4. 使用自动刷新 token 的机制。前端可以在每次请求发送前,检查 token 的有效性。如果 token 即将过期或已过期前端可以发送一个特殊的请求到后端,后端根据一些规则判断是否颁发新的有效 token,并返回给前端。 需要注意的是,为了增加安全性,可以使用短暂有效期的 token,并在每次请求中携带 token 进行验证。此外,前端还可以结合使用 refresh token 和 access token 的方式进行认证和刷新。具体的实现方式可以根据项目需求和技术栈来选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵忠洋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值