前后端处理实时刷新refresh_token的使用

已于 2022-03-24 14:32:30 修改
阅读量1.9w 收藏 68
点赞数 12
分类专栏: java 文章标签: java vue.js
于 2022-03-23 23:34:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41522141/article/details/123699113
版权

实现方案

后端生成两个token(token和refresh_token),token有效时间短,refresh_token有效时间长; 前端请求登录后,后端把这两个token传给前端,前端缓存下来;

  1. token未到期,前端可正常请求。
  2. token过期,后端会返回与前端约定好的相关参数(比如,响应码401),前端在返回拦截器中判断拦截,并将refresh_token替换掉已经失效的token去调用api_refresh_token的接口请求。后端则判断refresh_token是否过期。
    (1)refresh_token未过期,后端重新生成token和refresh_token返给前端。前端接收到后,缓存token,并重新执行之前失败的接口。
    (2)refresh_token过期,后端返回token失效,前端跳转到登录页。
分析

token和refresh_token有三个时间点需要去考虑;

token和refresh_token的时间点需要实现的结果
token和refersh_token都没失效正常请求
token失效,refresh_token没失效请求提示token失效,前端需要调api_refresh_token的请求,获取新的token
token和refresh_token都失效请求提示token失效,前端需要调api_refresh_token的请求,请求失败,退出登录

网上找的图,很棒!

代码实现

前后端语言和框架分别通过vue和Java/spring security去实现。代码有不完善之处,今后会不断完善。

后端代码

登录生成token和refresh_token

@Component
public class LmsAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    UserService userService;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        String username = authentication.getName();
        User user = userService.getByUsername(username);
        //生成jwt
        String token = JwtUtil.generateToken(user,JwtUtil.EXPIRE_TIME);
        //生成refresh_token
        String refreshToken = JwtUtil.generateToken(user,JwtUtil.EXPIRE_TIME+JwtUtil.REFEASH_TIME_PLUS);

        long userId = user.getId();//获取到userId

        Map<String, Object> map = new HashMap<String, Object>();
        map.put("token", token);
        map.put("refreshToken", refreshToken);

        ResultJson result = ResultJson.ok().data(map).message("登录成功");

        response.setContentType("application/json;charset=UTF-8"); // 响应类型
        PrintWriter out = response.getWriter();
        out.write( JSON.toJSONString(result));

        out.flush();
        out.close();
    }
}

token失效的处理

@Component
public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        //token失效返回401
        ResultJson result = ResultJson.error().code(ResultCode.Unauthorized).message("token失效");

        response.setContentType("text/json;charset=utf-8"); 
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); //设置响应码
        response.getWriter().write(JSON.toJSONString(result));
    }
}

实现api_token_refresh接口

    @GetMapping("/api-token-refresh")
    public ResultJson refresh_token(Principal principal, HttpServletResponse response){
	      User user = userService.getByUsername(principal.getName());
	
	      //生成jwt
	      String token = JwtUtil.generateToken(user, JwtUtil.EXPIRE_TIME);
	      //refresh_token
	      String refreshToken = JwtUtil.generateToken(user, JwtUtil.EXPIRE_TIME + JwtUtil.REFEASH_TIME_PLUS);
	
	      Map<String, Object> map = new HashMap<>();
	      map.put("token", token);
	      map.put("refreshToken", refreshToken);
	      return ResultJson.ok().data(map);
    }
前端代码

axios响应拦截,关于token失效的处理

import axios from "axios";
import { Notification } from "element-ui";
import router from "./router";

const request_domain = "http://127.0.0.1:8088";
axios.defaults.baseURL = request_domain; //全局使用的请求域名

//axios实例对象
const request = axios.create({
  timeout: 5000,
  headers: {
    "Content-Type": "application/json; charset=utf-8",
  },
});

// 是否正在刷新的标记
let isRefreshing = false
// 重试队列,每一项将是一个待执行的函数形式
let requests = []

function refreshToken () {
  // 我项目中  更新token 需要吧原有的token 换成refreshToken去请求   这里根据需求可以改动
  window.localStorage.setItem('token', window.localStorage.refreshToken)
  return request({method:'get',url: '/api-token-refresh'})
}
// 给实例添加一个setToken方法,用于登录后将最新token动态添加到header,同时将token保存在localStorage中
function setToken(token,refreshToken){
  console.log("重新缓存token")
  request.defaults.headers['Authorization'] = `Auth ${token}`
  // 这里用到的存储是localStorage
  window.localStorage.setItem('token', token)
    
  window.localStorage.setItem('refreshToken', refreshToken)
}

axios响应拦截
request.interceptors.response.use(
  (response) => {
    // 如果返回的状态码为200,说明接口请求成功,可以正常拿到数据
    // 否则的话抛出错误
    if (response.status === 200) {
      console.log(response.data.code)

      // 这里可以根据code值进行判断处理,需要与后端协商统一
      if (response.data.code == 0) {
        console.log("test");
      } else if (response.data.code == 20001) {
        console.log("20001报错");
      
        Notification.error({
          title: "错误",
          message: response.data.message,
        });
      }
      return Promise.resolve(response);
    } else {
      return Promise.reject(response);
    }
  },
  // 服务器状态码不是2开头的的情况
  // 这里可以跟你们的后台开发人员协商好统一的错误状态码
  // 然后根据返回的状态码进行一些操作,例如登录过期提示,错误提示等等
  // 下面列举几个常见的操作,其他需求可自行扩展
  (error) => {
    if (error.response.status) {
      switch (error.response.status) {
        case 401:
          var config = error.config; //获取401失败请求的axios中的config配置数据

          if (!isRefreshing) { //没有刷新
            isRefreshing = true

            return refreshToken().then(res => {//请求刷新token的接口
              const { token ,refreshToken} = res.data.data
              
              setToken(token,refreshToken) //将新的token和refresh_token保存到localStorage中
              config.headers['Authorization'] = `Auth ${token}`
              console.log('token过期刷新接口');
              // 已经刷新了token,将所有队列中的请求进行重试
              requests.forEach(cb => cb(token))
              requests = []
              return request(config) 
            },err=>{
              Notification.error({
                title: "401",
                message: error.response.data.message,
              });
              router.push("/login"); //跳转到登录页
            }).catch(res => {
              console.error('refreshtoken error =>', res)
            }).finally(() => { //无论是否有触发异常,该语句都会执行
              isRefreshing = false
            })
          }else {
            // 正在刷新token,将返回一个未执行resolve的promise
            // 保存函数 等待执行
            // 吧请求都保存起来 等刷新完成后再一个一个调用
             new Promise((resolve) => {
              // 将resolve放进队列,用一个函数形式来保存,等token刷新后直接执行
              requests.push((token) => {
                config.headers['Authorization'] = `Auth ${token}`
                resolve(request(config))
              })
            })
          }
          break;
        default:
      }
      return Promise.reject(error.response);
    }
  }
);
export default request;

本文参考

https://blog.csdn.net/weixin_44115908/article/details/106063316

gilbert♥
关注
  • 12
    点赞
  • 68
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
刷新令牌--refresh token
生命不息,学习不止
05-29 353
刷新令牌token
Refresh Token介绍
热门推荐
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
为什么要有refreshToken
Maisuluo的博客
12-30 3473
当你第一次接触的时候,你有没有一个这样子的疑惑,为什么需要refreshToken这个东西,而不是服务器端给一个期限较长甚至永久性的accessToken呢?
关于refresh token的总结
MPFLY的博客
03-01 6850
refresh_token使用说明和记录
TokenRefresh Token
weixin_44153131的博客
02-14 3269
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
tokenrefreshtoken
LINDYING的博客
05-11 1247
tokenrefreshtoken
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
前后端分离的架构中,API成为了连接前端与后端的主要桥梁。`api.rar_Token 使用redis_django_exclaimedthp_...同时,使用JWT提供了无状态的身份验证,降低了前后端通信的复杂性,使得API的权限管理更加灵活和可控。
Java如何做到无感知刷新token含示例代码(值得珍藏)
最新发布
01-19
public ResponseEntity<String> refreshToken(@RequestHeader("Authorization") String authHeader) { String token = authHeader.replace("Bearer ", ""); Claims claims = TokenGenerator.parseToken(token); ...
Oauth2_淘宝授权JAVA前后端源代码demo
07-06
在后端部分,Java应用接收到这个授权码后,会向淘宝的授权服务器发送一个包含授权码、客户端ID、客户端密钥和回调URL的请求,以换取访问令牌(Access Token)和刷新令牌(Refresh Token)。这些令牌是安全地与用户...
springcloud + 前后端分离实现 Oauth2
04-07
- **刷新令牌(Refresh Token)**:当访问令牌过期时,客户端可以通过刷新令牌获取新的访问令牌,保持用户会话的连续性。 - **安全配置**:确保所有的API接口都正确配置了安全约束,防止未授权访问。 - **错误处理...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
什么是 Refresh Token
里查叔叔
09-18 6637
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
tokenrefreshtoken的问题
2301_76622053的博客
05-12 804
所以调用修改token的这个方法的载荷里,把tokenrefresh_token都写上,token就是从第三次请求中得到的token中来,refresh_token就是原本的refresh_token。第三次请求中拿到的数据里,data里的token就是我们要的刷新之后的token,用这个新获取到的token替换掉存储在store里的老token。在state里存储的tokenObj对象里,有两个数据,tokenrefresh_token,但是我们调用修改方法 只传了一个token
实现token的无感刷新
m0_70902093的博客
06-29 4543
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
refreshToken的作用讨论及几点疑惑
weixin_52405713的博客
01-28 1万+
在网上及oauth官方网文档转了一圈,看到如下理由: refreshToken的作用: 1、更加安全。直接接给access_token较长时间的有效期,有泄露风险,所以引用refresh_token,有效期长,但权限小。 2、类似session的检验方式,会在用户每次访问的时候刷新access_token的过期时间。此方案会有较大性能问题,有高频率无用刷新,尤其在请求频繁的时候。此时refresh_token的作用相当于降低了access_token刷新频率。 3、在利用第三方登录,如微信登录、googl
【我不熟悉的javascript】02. 使用tokenrefreshToken的管理用户登录状态
qq_17335549的博客
09-01 2723
使用tokenrefreshToken的管理用户登录状态
为什么要使用 refresh_token 刷新token
知道的越多 不知道的就越多
08-16 3517
refreshToken就是用来在accessToken过期以后来重新获取accessToken的。
返回 aeecss_token为空 refresh_token有值
06-03
当调用 https://api.weixin.qq.com/sns/oauth2/access_token 接口时,如果返回的 JSON 数据中 access_token 为空,但 refresh_token 不为空,可能是由于以下原因: 1. refresh_token 过期了:refresh_token 有一个有效期,如果在有效期内没有使用 refresh_token 去获取新的 access_token,那么 refresh_token 将会过期,失效。需要重新使用授权流程获取新的 access_tokenrefresh_token。 2. refresh_token使用了:每次使用 refresh_token 获取新的 access_token 时,refresh_token 也会更新,旧的 refresh_token 将会失效。因此,如果在使用旧的 refresh_token 获取 access_token 时返回 access_token 为空,但是 refresh_token 不为空,很可能是因为旧的 refresh_token 已经被使用了,需要使用新的 refresh_token 去获取新的 access_token。 你可以根据以上两种情况进行排查,如果还有其他问题,欢迎继续提问。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值