Token无感知刷新

最新推荐文章于 2024-08-04 17:58:32 发布
最新推荐文章于 2024-08-04 17:58:32 发布
阅读量438 收藏 9
点赞数 3
分类专栏: 前端小知识 文章标签: 前端 javascript vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36877763/article/details/136692670
版权
本文介绍了在前后端分离应用中,如何通过无感知刷新Token解决因token有效期导致的认证问题,包括使用axios进行请求、处理401状态、定时刷新以及考虑RefreshToken的安全性。
摘要由CSDN通过智能技术生成

前言

在前后端分离的应用中,使用token进行交互验证是一种比较常见的方式。但是,由于token的有效期限制,需要不断地刷新token,否则会导致用户认证失败。

栗子

可以幻想一下,你在一个应用中,填写了很多个表单,最后提交的时候,401认证失败,这个时候你心里肯定一万个....所以为了解决这个问题,给用户更好的体验,本文介绍无感知刷新token的实现。

token验证的原理

在web应用中,常见的token认证方式有基于token和基于cookie的认证。基于token的认证方式是,将认证信息每次放在请求头中,在每次发起请求时,将token发给服务端认证,而基于cookie的认证方式是,客户端本地存储的cookie文件来记录用户的操作状态在随后的访问请求中,客户端浏览器会检索与用户请求资源相匹配的Cookie,并将其提交给Web服务器进行验证。如果Cookie合法,则允许用户访问请求的资源,反之则拒绝用户的访问请求。

什么是无感知刷新token

无感知刷新Token是指在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。在实现无感知刷新token的时候需要考虑以下几点:

  1. 如何判断token是否过期?
  2. 如何在token过期时,自动使用Refresh Token获取新的Access Token?
  3. Refresh Token安全性?

代码实现-第一步

使用axios作为客户端请求库

import axios from 'axios';  
// 设置 tokens 到 localStorage 或其他持久化存储中  
function setTokens(data) {  
    localStorage.setItem('access_token', data.access_token);  
    localStorage.setItem('refresh_token', data.refresh_token);  
}  
// 假设 login 是用户登录函数,从后端获取 tokens  
async function login() {  
    const response = await axios.post('/login', { username: 'USERNAME', password: 'PASSWORD' });  
    setTokens(response.data);  
}

代码实现-第二步

设置请求头,添加token

axios.defaults.headers.common['Authorization'] = `Bearer ${accessToken}`;

有不明白axios基本设置的同学,可以查看axios官方文档

代码实现-第三步

拦截401 Authorization状态

// 当请求失败并返回 401 时,尝试使用 refresh token 获取新的 access token  
axios.interceptors.response.use(undefined, (error) => {  
    if (error.response && error.response.status === 401 && localStorage.getItem('refresh_token')) {  
        return axios.post('/refresh_token', { refresh_token: localStorage.getItem('refresh_token') })  
            .then((response) => {  
                setTokens(response.data);  
                error.config.headers['Authorization'] = 'Bearer ' + response.data.access_token; // 用新的token发送请求  
                return axios(error.config); // 让请求再次发送  
            });  
    } else {  
        return Promise.reject(error); // 否则,返回原始错误信息  
    }  
});

代码实现-第四步

设置定时刷新token

为了避免Access Token过期时间太长,可以使用定时器定时刷新token,在每次刷新后重新设置Access TokenRefresh Token

function refreshToken() {
  const refreshToken = localStorage.getItem('refresh_token');
  axios.post('/refresh_token', { refresh_token: localStorage.getItem('refresh_token'))
    .then(response => {
      setTokens(response.data);
      axios.defaults.headers.common['Authorization'] = `Bearer ${access_token}`;
    })
    .catch(error => {
      console.error(error);
    });
}

setInterval(refreshToken, 5 * 60 * 1000); // 每5分钟刷新Token

安全性考虑

在实现无感知刷新Token的过程中,需要考虑到Refresh Token的安全性问题。因为Refresh Token具有长期的有效期限,一旦Refresh Token被泄露,攻击者就可以使用Refresh Token获取新的Access Token,从而绕过认证机制,访问受保护的API。

  1. 限制访问次数
  2. 请求加签(目前团队中大佬已经实现加签)
  3. 加密

后续优化

在实现过程中,会发现该实现方式大部分都是在请求拦截和相应拦截中设置的,这样带来的问题就是,耦合性高,接口重试的机制不太好。另一方面,我觉得token无感知刷新涉及到了接口重发,我理解的是接口维度的。所以在后续会考虑封装一个class类来实现。

LiuPing_Xie
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
无感刷新 token
阿城的博客
11-03 1507
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
Java如何做到无感知刷新token含示例代码(值得珍藏)
01-19
【Java实现无感知刷新Token详解】 在Web应用中,用户身份验证通常依赖于Token机制,如JWT(JSON Web Tokens)。然而,Token具有有效期限制,过期后可能导致用户被迫重新登录,影响用户体验。为了解决这一问题,我们...
前端token无感刷新详解
最新发布
weixin_46714216的博客
08-04 871
在介绍双token无感刷新之前,我们先简单介绍一下什么是token吧!token是一种用户标识,表示用户身份,类似于我们的身份证件。Token是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回Token前端前端可以在每次请求的时候带上Token证明自己的合法地位。如果这个Token在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3504
感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
token无感刷新
m0_46639734的博客
06-17 501
Token无感刷新通常指的是在用户不知情的情况下自动刷新认证Token,以保持用户的会话状态。这通常在使用JWT(JSON Web Tokens)作为认证方式时使用。这种机制确保了用户在使用应用时,Token可以在用户不知情的情况下被更新,避免了用户因Token过期而需要重新登录的情况。这种方法确保了用户体验的连贯性,同时保持了系统的安全性。前端(使用Axios拦截器)
Token感知刷新,让流畅成为常态
chen520的博客
08-03 940
Token感知刷新机制允许系统在访问令牌即将到期时,无需用户介入,自动使用刷新令牌获取新的访问令牌。这样,用户的操作不会因认证过期而中断,提升了整体的用户体验和应用的可靠性。通过技术手段如请求拦截、状态监测和后台同步操作,Token感知刷新确保了用户会话的持久性和安全性,成为现代Web开发中不可或缺的一个环节。:Token感知刷新可能会导致缓存失效,因为每次刷新令牌后,之前的缓存数据可能不再有效。例如,可以在客户端缓存部分数据,或者使用本地缓存来存储令牌信息,减少对服务器的访问。
前端如何实现token的无感刷新
xiangzhihong8的专栏
10-22 900
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token的无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
感知刷新Token
qiaozhongsheng的博客
07-08 595
axios的响应拦截
无感刷新token
baidu_39135917的博客
01-21 272
涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端:后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全,你可以用更好的方法。 前端:什么方法? 后端:给你刷新token的接口,定时去刷新token 前端:好,让我思考一下 ** 需求 ** 当token过期的时候,刷新token,前端需要做到无感刷新token,即刷token时要做到用户无感知,避免频繁登录。实现思路 方法一 后端返回过期时间,前端判断token过期时间,去调用刷新
axios如何利用promise无痛刷新token的实现方法
10-16
这样,用户不会感知到请求的中断,实现了无痛刷新token。 总结来说,通过使用axios的响应拦截器和Promise,我们可以优雅地处理token刷新,保证用户体验的连续性。在实际开发中,还需要考虑错误处理、网络延迟以及...
请求时token过期自动刷新token操作
11-19
1.在开发过程中,我们都会接触到tokentoken的作用是什么呢?主要的作用就是为了安全,用户登陆时,服务器会随机生成一个有时效性的token,用户的每一次请求都需要携带上token,证明其请求的合法性,服务器会验证token,只有通过验证才会返回请求结果。 2.当token失效时,现在的网站一般会做两种处理,一种是跳转到登陆页面让用户重新登陆获取新的token,另外一种就是当检测到请求失效时,网站自动去请求新的token,第二种方式在app保持登陆状态上面用得比较多。 3.下面进入主题,我们请求用的是axios,不管用何种请求方式,刷新token的原理都是一样的。 //封装了一个统一的请
Android OkHttp实现全局过期token自动刷新示例
01-20
本文将探讨如何使用OkHttp库来实现全局过期token的自动刷新,以便在用户无感知的情况下完成这一过程。 首先,我们需要理解`token`和`cookie`的区别。`cookie`是服务器发送给浏览器的一小段数据,存储在用户的本地...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
这个过程应该设计为无感知的,即用户在正常使用应用时,后台自动完成Token刷新,无需用户手动操作。 总结来说,Spring Boot、Shiro、JWT和Redis的整合,可以提供一个安全、高效且用户体验良好的认证系统。通过...
实现用户无感知刷新token
weixin_50255400的博客
07-30 2092
文章目录1. 需求2. 解决思路3. 代码实现4. 其他4.1 前置守卫4.2 token存储方式 1. 需求 前端登录后,后端返回token和refreshToken,当token过期时要求用refreshToken去获取新的token前端需要做到无感知请求刷新token。 2. 解决思路 当用户发起一个请求时,判断token是否已过期,若已过期则先调用refreshToken接口,拿到新的token后再继续执行之前的请求。 方法:在响应拦截器中对请求返回结果进行拦截,判断token 返回过期后,调用
五分钟带你详细了解无感刷新Token技术(Vue+express)
weixin_69810763的博客
09-12 2496
无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。这项技术适用于各种Web应用、移动应用和单页应用等场景,特别适用于需要长时间访问令牌和多终端登录的应用。通过无感刷新Token技术,我们能够在保证用户会话持续性的同时,提供更好的安全性和便利性。
如何实现token的无感刷新
这人脑子有点不够用
05-16 338
为了确保用户在整个会话的期间保持登录状态,无需多次认证,我们需要做到无感刷新token首先当我们用户登录的时候会生成两个token
前端实现token的无感刷新#记录
junsens的博客
04-07 2225
因为服务器的token一版不会设置太长,token过期后就需要重新登录,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LiuPing_Xie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值