如何实现token的无感刷新

已于 2024-05-16 16:08:12 修改
阅读量304 收藏 6
点赞数 5
文章标签: java vue
于 2024-05-16 16:06:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52776163/article/details/138964449
版权

为了确保用户在整个会话的期间保持登录状态,无需多次认证,我们需要做到无感刷新token
首先当我们用户登录的时候会生成两个token,

Token:存放一些用户非私密信息  ,时间较短  一两个小时即可
RefreshToken: 只存放用户的id  ,时间较长 两三个月集或更长

生成的两个token我们需要保存本地存储中,当我们请求的时候携带token进行访问,后台会验证token是否过期,没有过期则正常访问资源,如果过期后台会返回一个状态到前台,前台在拦截器中对这个状态进行判断,如果真的过期了前台就会调用一个更新token的接口并将RefreshToken作为参数携带过去,然后后台对RefreshToken进行校验查看是否是有效令牌,查看完成后会生成新的token 和 RefreshToken返回给前台,然后存储,携带访问即可
在这里插入图片描述

前端

  // 添加响应拦截器
    this.myAxios.interceptors.response.use(
      async function (response: any) {
        //关闭loading层
        closeNotify();
        const { code, msg, data } = response.data;

        if (code === 0) {
          return data;
        } else if (code == undefined) {
          return response;
        } else if (code == 457) {
          try {
            // 刷新token
            await refreshToken();
            // 重新执行请求
            return that.myAxios(response.config);
          } catch(error: any) {
            showNotify({type: 'danger',message: error.message})
            return Promise.reject(error)
          }
        } else if (code != 0) {
          return Promise.reject(msg);
        }
      },
      function (error: any) {
        // 对响应错误做点什么
        closeNotify();
        return Promise.reject(error);
      }
    );
  }

const refreshToken = async () => {
    closeNotify();
  return await axios
    .get("/apis/bm-member-service-app/api/member/refresh_token", {
      params: {
        refreshToken: beimao_store.refreshToken,
      },
    })
    .then(function (response) {
      const { code, msg, data } = response.data;
      if (code != 0) {
        return Promise.reject(new Error(msg));
      }

      beimao_store.token = data.token;
      beimao_store.refreshToken = data.refreshToken;
      return Promise.resolve("成功");
    })
    .catch(function (error) {
      return Promise.reject(new Error("稍等稍等"));
    });
};

后端

    /**
     * 刷新token
     * @param refreshToken
     * @return
     */
    @GetMapping("/refresh_token")
    public Map<String,String> login(String refreshToken) {
        return loginService.refresToken(refreshToken);
    }

 public Map<String, String> refresToken(String refreshToken) {

        if(ObjectUtil.isEmpty(refreshToken)){
            throw new BizException(456,"token必传");
        }
        boolean b = false;
        // 验证算法,JWTValidator包含过期的验证,验证比较全面
        try {
            JWTValidator.of(refreshToken).validateAlgorithm(JWTSignerUtil.hs256(key.getBytes())).validateDate();
            b = true;
        }catch (Exception ex){
            ex.printStackTrace();
        }
        if(!b){
            throw new BizException(457,"token不正确");
        }
        //{id:8,nickName:“张麻子”}
        //ThreadLocal 作用 能够跨类跨方法实现变量共享

        JSONObject jsonObject = JSONUtil.toBean(JWTUtil.parseToken(refreshToken).getPayload().toString(), JSONObject.class);
        int id = Integer.parseInt(jsonObject.get("id").toString());

        Member member = loginDao.selectById(id);
        if(ObjectUtil.isEmpty(member)){
            throw new BizException(610,"账号或密码错误");
        }
        //设置双Token
        //带参数的设置短时间
        Map<String , Object> map1 = new HashMap<String,Object>(){
            private static final long serialVersionUID = 1L;
            {
                put("id", member.getId());
                put("nickName", member.getNickName());
                put("exp", System.currentTimeMillis()/1000 + 10);
            }
        };
        //不带参数的设置长时间
        Map<String , Object> map2 = new HashMap<String,Object>(){
            private static final long serialVersionUID = 1L;
            {
                put("id", member.getId());
                put("exp", System.currentTimeMillis()/1000 + 1000 * 60 * 60 * 24 * 30 * 2);
            }
        };
        String token = JWTUtil.createToken(map1,key.getBytes());
        String refreshToken2 = JWTUtil.createToken(map2,key.getBytes());
        //将Token存入map返回出去
        Map<String ,String> map = new HashMap<>();
        map.put("token", token);
        map.put("refreshToken", refreshToken);
        return map;
    }
箴峋
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
vue中前端利用refreshToken结合axios拦截器实现token的无刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
spring oauth2 JWT后端自动刷新access.docx
07-04
Token刷新 jwt token刷新方案可以分为两种:一种是校验token刷新,第二种是校验失败后刷新。 我们先来说说第二种方案 验证失效后,Oauth2框架会把异常信息发送到OAuth2AuthenticationEntryPoint类里处理。这时候我们可以在这里做jwt token刷新并跳转。 网上大部分方案也是这种:失效后,使用refresh_token获取新的access_token。并将新的access_token设置到response.header然后跳转,前端接收并无更新新的access_token
axios实现token刷新
阿锐的博客
08-14 537
【代码】axios实现token刷新
前端实现token刷新的原因和步骤
weixin_42178670的博客
12-04 749
前端实现token刷新的原因和步骤
前端实现token刷新
weixin_48864616的博客
04-06 862
假如token 的过期时间是5分钟,那么在高频率使用的情况下(每秒访问接口)每隔5分钟就会刷新一次token。如果web端有大屏展示页面的话,过期刷新的方案跟定时刷新的方案调用的token次数其实一样。但过期刷新的时候可能会阻碍接口的请求,导致每隔5分钟会出现一次接口变慢的情况。当token过期的时候,刷新token,前端需要做到无刷新token,即刷token时要做到用户无知,避免频繁登录。后端每个需要token的接口,都返回token的失效时间指的是定时器的时间也是后端返回token失效的时间。
关于实现token刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
token实现刷新
qq_63431773的博客
09-12 645
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
关于前端实现token刷新(refresh_token)
weixin_69356624的博客
07-10 4330
实现token刷新对于前端来说是一项非常常用的技术,其本质是为了优化用户体验,当token过期时不需要用户跳回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的ajax,获取最新的token进行覆盖,让用户受不到token已经过期,今天写了一个简陋的demo,给大家提供一个参考步骤: 1.先搭好axios骨架,以及请求拦截器与响应拦截器 2.再封装好ajax的接口,一个获取token的,一个需要token发送ajax的(获取用户信息等) 3
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Android OkHttp实现全局过期token自动刷新示例
01-20
这个过程应该说对用户来说是无的。 这个过程用流程图可以这样表示: 自动更新token流程 要实现上述需求的话,大家会如何实现呢? 首先讲一下Token和Cookie吧 – cookie cookie是保存在本地终端的数据。cookie由...
微信小程序自动刷新token,无刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
实现token的无刷新
m0_70902093的博客
06-29 4358
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
token刷新
qq_59737146的博客
08-20 1186
token刷新
Token实现刷新
New_user_的博客
01-19 1463
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过双token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
java环境部署
JiuMeilove的博客
06-04 402
如果你电脑已经下载了 jdk ,那你可以跳过这一步了我这里下载的是java21 你们可以选择自己需要下载的游览进去的页面是这样子的(相比以前这个页面发生很大变化了),可以看见目前 jdk 已经发行到 17 了,jdk 它又分了三个个操作系统,一个是 Linux、一个是 macOS、以及 windows,如果你是在 windows 操作系统上,那当然就下载 windows 对应的 jdk,其次的话就是还会区分你操作系统的处理器是 32 位的还是 64 位的,可以点击 我的电脑 - 属性 查看。
finereport 9.0 Tomcat 集群-来自帆软
最新发布
chenmingfa110的博客
06-07 597
APACHE_HOME %为你的安装目录。对于每个新来的session,Apache按照节点配置中的lbfactor比重选择访问节点,如果某节点node1不能访问,则寻找下一可访问节点,并且将此node1就在该访问session的访问黑名单中,以后该session的访问直接不考虑node1,即使node1又可以访问了。注:由于这里三个tomcat全在一台机器上,所以需要修改三种类型的端口号,如果是在不同的机器上,则只需要修改AJP13的connector的port,其他端口号不需要修改。
java中Overload和Override的区别
codedadi的博客
06-04 584
当调用Dog对象的makeSound方法时,将执行Dog类中的方法,而不是Animal类中的方法。定义:在子类中,有一个与父类同名、同参数列表、同返回类型(或协变返回类型)的方法,则称子类中的该方法为父类同名方法的重写。子类方法的访问权限不能低于父类方法的访问权限(如父类方法为public,则子类方法也必须是public)。Override(重写):子类与父类之间,方法名、参数列表和返回类型(或协变返回类型)相同。定义:在同一个类中,方法名相同但参数列表(参数类型、参数数量或参数顺序)不同的多个方法。
JavaScript第九讲:BOM编程
星途码客的博客
06-04 1435
今天星途给大家带来JavaScript倒数第二部分知识:BOM编程,希望对码客们有帮助。
实现token刷新
04-05
Token刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值