双token登录无感刷新

最新推荐文章于 2024-06-04 14:18:50 发布
最新推荐文章于 2024-06-04 14:18:50 发布
阅读量930 收藏 18
点赞数 23
文章标签: vue.js node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46606917/article/details/137064519
版权

定义

  • accessToken:用户获取数据权限

  • refreshToken:用来获取新的accessToken

双 token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token。

双 token 验证流程

  1. 用户登录向服务端发送账号密码,登录失败返回客户端重新登录。登录成功服务端生成 accessToken 和 refreshToken,返回生成的 token 给客户端。

  2. 在请求拦截器中,请求头中携带 accessToken 请求数据,服务端验证 accessToken 是否过期。token 有效继续请求数据,token 失效返回失效信息到客户端。

  3. 客户端收到服务端发送的请求信息,在二次封装的 axios 的响应拦截器中判断是否有 accessToken 失效的信息,没有返回响应的数据。有失效的信息,就携带 refreshToken 请求新的 accessToken。

  4. 服务端验证 refreshToken 是否有效。有效,重新生成 token, 返回新的 token 和提示信息到客户端,无效,返回无效信息给客户端。

  5. 客户端响应拦截器判断响应信息是否有 refreshToken 有效无效。无效,退出当前登录。有效,重新存储新的 token,继续请求上一次请求的数据。

注意事项

  1. 短token失效,服务端拒绝请求,返回token失效信息,前端请求到新的短token如何再次请求数据,达到无感刷新的效果。

  2. 服务端白名单,成功登录前是还没有请求到token的,那么如果服务端拦截请求,就无法登录。定制白名单,让登录无需进行token验证。

后端代码

app.js

var expressJWT = require('express-jwt')

设置白名单
app.use(expressJWT({
  secret:"123456",
  algorithms:["HS256"],
  //getToken是修改express-jwt获取请求头并判断的标准。默认是只有一个authorization,也就是我们请求头的Authorization字段,但是,如果我们想要他有多个判断时,比如,我们再要他判断一个pass,就可以像如下这么写
  getToken: function fromHeaderOrQuerystring (req) {
    console.log(req.headers);
    if (req.headers.authorization && req.headers.authorization.split(' ')[0] === 'Bearer') {
      return req.headers.authorization.split(' ')[1];
    }
    if (req.headers.pass && req.headers.pass.split(' ')[0] === 'Bearer') {
      return req.headers.pass.split(' ')[1];
    }
    return null;
  }
}).unless({path:["/login"]}))
//错位处理中间件,这里如果错误是UnauthorizedError,那么就证明accesstoken过期。
app.use(function (err, req, res, next) {
  console.log(err);
  if (err.name === 'UnauthorizedError') {
      res.status(200).send({ code: 4003, msg: "未验证身份" });//这里status中一定要写200,否则页面会报错
  } else {
      next();
  }
});

 

index.js

登录
router.post('/login', async (req, res) => {
  let data = req.body
  let routeinfo = await routerMoudel.find()
  let user = await loginModel.find({ username: data.username })
  if (user.length > 0) {
    let accessToken = "Bearer " + jwt.sign({...user[0]}, "123456", { expiresIn: 5 })
    let refreshToken = "Bearer " + jwt.sign({...user[0]}, "123456", { expiresIn: "1d" })
    // let token = jwt.sign({ ...user[0] }, '123456', { expiresIn: '1d' })
    if (user[0].password == data.password) {
      res.send({
        code: 200,
        msg: "登陆成功",
        routeinfo,
        accessToken,
        refreshToken
      })
    } else {
      res.send({
        code: 201,
        msg: "密码错误"
      })
    }
  } else {
    res.send({
      code: 203,
      msg: "用户名错误"
    })
  }
})

//刷新短token
router.get('/refresh', (req,res) => {
  let accessToken = "Bearer " + jwt.sign({...user[0]}, "123456", { expiresIn: 5 })
  let refreshToken = "Bearer " + jwt.sign({...user[0]}, "123456", { expiresIn: "1d" })
  res.send({
    code: 200,
    accessToken,
    refreshToken
  })
})

 

前端代码

http/index.js

import axios from 'axios'
//全局变量,这些通常会在全局
export const ACCESS_TOKEN = 'a_tk' // 短token字段
export const REFRESH_TOKEN = 'r_tk' // 短token字段
export const AUTH = 'Authorization'  // header头部 携带短token
export const PASS = 'pass' // header头部 携带长token

//全局方法,这些通常也会在全局
// 存储短token
export const setAccessToken = (token) => localStorage.setItem(ACCESS_TOKEN, token)
// 存储长token
export const setRefershToken = (token) => localStorage.setItem(REFRESH_TOKEN, token)
// 获取短token
export const getAccessToken = () => localStorage.getItem(ACCESS_TOKEN)
// 获取长token
export const getRefershToken = () => localStorage.getItem(REFRESH_TOKEN)
// 删除短token
export const removeAccessToken = () => localStorage.removeItem(ACCESS_TOKEN)
// 删除长token
export const removeRefershToken = () => localStorage.removeItem(REFRESH_TOKEN)


let subscribes=[]
let flag=false // 设置开关,保证一次只能请求一次短token,防止客户多此操作,多次请求

/*把过期请求添加在数组中*/
export const addRequest = (request) => {
    subscribes.push(request)
}

/*调用过期请求*/
export const retryRequest = () => {
    console.log('重新请求上次中断的数据');
    subscribes.forEach(request => request())
    subscribes = []
}

/*短token过期,携带token去重新请求token*/
export const refreshToken=()=>{
    if(!flag){
        flag = true;
        let r_tk = getRefershToken() // 获取长token
        if(r_tk){
            server.get('/refresh',Object.assign({},{
                headers:{[PASS]:r_tk}
            })).then((res)=>{
                //长token失效,退出登录 //这个功能没做
                if(res.code===4006){
                    console.log('长token没了');
                    flag = false
                    removeRefershToken(REFRESH_TOKEN)
                } else if(res.code===200){
                    // 存储新的token
                    setAccessToken(res.accessToken)
                    setRefershToken(res.refreshToken)
                    flag = false
                    // 重新请求数据
                    retryRequest()
                }
            })
        }
    }
}


//封装axios
const server = axios.create({
  baseURL: 'http://localhost:3000', // 你的服务器
  timeout: 1000 * 10,
  headers: {
      "Content-type": "application/json"
  }
})

/*请求拦截器*/
server.interceptors.request.use(config => {
  // 获取短token,携带到请求头,服务端校验
  let aToken = getAccessToken(ACCESS_TOKEN)
  console.log(aToken);
  config.headers[AUTH] = aToken
  console.log(config.headers);
  return config
})

/*响应拦截器*/
server.interceptors.response.use(
  async response => {
      // 获取到配置和后端响应的数据
      let { config, data } = response
      console.log('响应提示信息:', data);
      return new Promise((resolve, reject) => {
          // 短token失效
          if (data.code === 4003) {
              console.log(config);
              // 移除失效的短token
              removeAccessToken(ACCESS_TOKEN)
              // 把过期请求存储起来,用于请求到新的短token,再次请求,达到无感刷新
              addRequest(() => resolve(server(config)))
              // 携带长token去请求新的token
              refreshToken()
          } else {
              // 有效返回相应的数据
              resolve(data)
          }

      }).catch((err)=>{
        console.log(err);
      })

  },
  error => {
      return Promise.reject(error)
  }
)

export default server

 

登录页面

<script setup>
import server from '../http/index'
import { ref } from "vue";
import { useRouter } from "vue-router";
import {setAccessToken,setRefershToken} from '../http/index'
const router = useRouter();
const form = ref({
  username: "",
  password: "",
});

const onSubmit = async () => {
  let res = await server.post("login", form.value);
  console.log(res.routeinfo,'+++');
  setAccessToken(res.accessToken);
  setRefershToken(res.refreshToken);
  form.value=""
  sessionStorage.setItem("routerDate", JSON.stringify(res.routeinfo));
  router.push("/container");
};

</script>
<template >
  <div>
    <el-form :model="form" label-width="auto" style="max-width: 600px">
      <el-form-item label="用户名">
        <el-input v-model="form.username" />
      </el-form-item>

      <el-form-item label="密码">
        <el-input v-model="form.password" />
      </el-form-item>

      <el-form-item>
        <el-button type="primary" @click="onSubmit">Create</el-button>
        <el-button>Cancel</el-button>
      </el-form-item>
    </el-form>
  </div>
</template>

<style scoped>
</style>

 

来份红焖羊肉
关注
  • 23
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
基于 Axios 封装一个完美的 token 无感刷新
Fwxps的博客
01-25 1632
基于 Axios 封装一个完美的 token 无感刷新
`AccessToken`和`RefreshToken`安全令牌
最新发布
qq_31532979的博客
06-04 981
`AccessToken`和`RefreshToken`安全令牌
基于 Axios 封装一个完美的 token 无感刷新
小生方勤
08-30 466
用户登录之后,会返回一个用户的标识,之后带上这个标识请求别的接口,就能识别出该用户。标识登录状态的方案有两种: session 和 jwt。session 是通过 cookie 返回一个 id,关联服务端内存里保存的 session 对象,请求时服务端取出 cookie 里 id 对应的 session 对象,就可以拿到用户信息。jwt 不在服务端存储,会直接把用户信息放到 token 里返回,每...
vue Token无感刷新
an_julia的博客
03-21 580
vue无感刷新token
Vue:token无感刷新
ruancexiaoming的博客
03-06 2801
refresh token的目的是在access token过期后,无需用户重新登录,客户端可以使用refresh token向认证服务器申请新的access token。为了保证安全性,refresh token一般具备一定的安全措施,例如限制其使用次数(防止无限刷新)、设置有效期(过期后必须重新登录)以及严格的存储策略(通常不会在客户端明文存储,而是存储在服务器端或经过加密存储在客户端本地)。用户登录时,通过用户名、密码或其他认证方式向认证服务器请求授权。src目录下创建以下两个文件。
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 468
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
Token实现无感刷新
New_user_的博客
01-19 1699
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
token实现无感刷新
qq_63431773的博客
09-12 691
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无感刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
vue axios实现token无感刷新
weixin_45606890的博客
07-26 2819
vue实现token无感刷新
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
如何实现Token无感刷新
weixin_55862073的博客
04-27 1356
为了解决这个问题,采取Token(Access_Token,Refresh_Token无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。3.Access_Token过期后,前端携带Refresh_Token调用A接口得到新的Access_Token,把新的Access_Token替换旧的Access_Token存储起来。Refresh_Token:用于刷新Access_Token,即调用A接口需要携带Refresh_Token, 用它换得最新的Access_Token
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 2575
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
为什么使用token实现无感刷新用户认证?
zxcvb0825的博客
01-15 1262
颁发Access Token & Refresh Token(当认证成功了以后,颁发两个内容,一个是Access Token 另一个 Refresh Token,Access Token是一个短期的token(比如几十分钟),Refresh Token是一个长期的token(比如可以设置几天或者更长的时间),这两个token都会返回客户端)----->:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
Springboot+Axiostoken解决token过期续签问题
huang714的专栏
11-10 3149
Springboot+Axiostoken解决token过期续签问题
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值