token无感刷新

已于 2023-02-08 11:05:34 修改
阅读量1.2k 收藏 3
点赞数
分类专栏: 面试 文章标签: 前端 面试
于 2022-08-20 15:36:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59737146/article/details/126440518
版权

目录

无感刷新

方案一:双token

博客一:

博客二:

具体实现(上面第三种方式)

方案二:使用旧token获取新token

无感刷新

方案一:双token

博客一:

用户第一次用账号密码登录,服务器返回3个参数: access_token、refresh_token和expires_in(短token过期时间,这里返回7200),时效长短不一样。短的access_token 时效过了之后,发送时效长的 refresh_token 重新获取一个短时效token,如果都过期,就需要重新登录了。

refresh_token 就是用来刷新access_token 。
活跃用户的access_token 过期了,用refresh_token获取新的access_token。


// 对比时间,判断数据是否过期,created中执行
getTimeOut() {
    const localData = LocalCache.getCache('expires_in');
    if (localData) {
        const localDataObj = JSON.parse(localData);
        const nowTime = new Date().getTime();
        if (nowTime > localDataObj) {
            console.log('数据已过期');
            // 刷新token接口
            this.overdueLogin();
            return false;
        }
    }
},
// 刷新token
overdueLogin() {
    let self = this;
    let refresh_token = LocalCache.getCache('refresh_token');
    if (refresh_token) {
    	// 函数为封装刷新接口的post请求
        postOverdueLogin(refresh_token).then((res) => {
            if (res.code == 200 && “用户为活跃用户”) {
                //把获取的 access_token存入本地
                LocalCache.setCache(
                    'token',
                    res.access_token ? res.access_token : ''
                );
                // endtime
                LocalCache.setCache(
                    'expires_in',
                    res.expires_in
                        ? res.expires_in * 1000 + new Date().getTime()
                        : ''
                );
                console.log('刷新token成功');
            } else if(res.code !== 活跃用户){
                console.log('用户不是活跃用户,请重新登陆');
                // 逻辑...
            } else {
            	console.log('刷新失败,因为access_token和refresh_token均已过期,请重新登陆');
            	// 逻辑...
            }
        });
    }
},

原文链接 无感刷新token【优化技巧】_前端工程师请求出战的博客-CSDN博客_无感刷新token

博客二:

这里重点介绍这种方式,此方案的大致流程为:登录后客户端收到两个token(access_token,refresh_token),其中access_token用来鉴定身份,而refresh_token用来刷新access_token;这就要求了refresh_token要比access_token有效时间要长,并且refresh_token不能用来鉴定身份
使用这种方案又有一下解决方式:

1、后端每次响应都响应一个token过期时间,前端进行判断,在token过期前进行刷新,这种方式存在太多不可控因素,如客户端系统时间被修改、长时间没请求导致token过期却未刷新,无法做到无感刷新,并且也存在并发问题
2、使用定时器,使用定时器增加的资源的损耗,亏损了性能,不推荐
3、在得到token过期的请求时,再发送refresh_token;有点懒加载的意思,这种方案性能最优

具体实现(上面第三种方式)


流程

再理一理程序运行的流程:

  1. 首先,登录得到了两个token,并将其存起来
  2. 当access_token过期时,自动发送refresh_token到刷新token的请求路径请求token刷新
  3. 得到新的token之后,将请求重新发送,实现用户无感刷新token

代码

用到的工具函数

//判空
let isEmpty = function(obj) {
    return obj == null || obj == "undefined" || obj == "null" || new String(obj).trim() == '';
};
  1. 封装axios 
    const my_axios = axios.create({
    baseURL: '/app',
    timeout: 15000,
    withCredentials: true
});

这里对axios做一个简单的封装,不做过多赘述

        2.定义请求拦截器,将请求带上token

my_axios.interceptors.request.use(
        req => {
        	//判断当前是否存在tokenBo(tokenBo即两个token组成的对象),存在则带上token
        	//isEmpty函数在上方的工具函数中
            if (!isEmpty(sessionStorage.getItem("tokenBo"))) {
            	//通过请求路径中是否含有refershToken来判断当前是一般请求还是token刷新请求;从而在请求头中带上不同的token
                if (-req.url.indexOf("refreshToken") == 1) {
                    req.headers['accessToken'] = JSON.parse(sessionStorage.getItem("tokenBo")).accessToken;
                } else {
                    req.headers['refreshToken'] = JSON.parse(sessionStorage.getItem("tokenBo")).refreshToken;
                }
            }
            return req;
        },
        err => {
            return Promise.reject(err)
        }
    )

        3.响应拦截,进行token的无感刷新
        这是最难的一步,我们需要考虑到几个问题,第一:要实现无感,那么用户的请求就不能被舍弃,而是需要在得到新的token后帮他再执行一次;第二,当同时出现多个请求时,可能会导致多次刷新token的情况,所以需要用一个标志量来标志是否正在刷新token,并使用一个数据对请求进行存储

//标志当前是否正在刷洗token
let isNotRefreshing = true;
//请求队列
let requests = [];
my_axios.interceptors.response.use(
    async res => {
    	//我们可以定义一个标准响应体,比如:{code=10415,msg='token已过期',data:null},当收到token过期的响应就要进行token刷新了
        if (res.data.code == 10415) {
        	//首先拿到响应的配置参数,这和请求的配置参数是一样的,包括了url、data等信息,待会需要使用这个config来进行重发
            const config = res.config;
            //如果当前不处于刷新阶段就进行刷新操作
            if (isNotRefreshing) {
                isNotRefreshing = false;
                //返回刷新token的回调的返回值,本来考虑到由于请求是异步的,所以return会先执行,导致返回一个undefined,那么就需要使用async+await,但实际上没有加也成功了
                return my_axios.get("/admin/refreshToken")
                    .then(res => {
                    	//如果token无效或token仍然过期,就只能重新登录了
                        if (res.code == 10422 || res.code == 10415) {
                            sessionStorage.removeItem("tokenBo");
                            sessionStorage.removeItem("currentAdmin");
                            location.href = '/login';
                        } else if (res.code == 10200) {
                        	//刷新成功之后,将新的token存起来
                            sessionStorage.setItem("tokenBo", JSON.stringify(res.data))
                            //执行requests队列中的请求,(requests中存的不是请求参数,而是请求的Promise函数,这里直接拿来执行就好)
                            requests.forEach(run => run())
                            //将请求队列置空
                            requests = []
                            //重新执行当前未执行成功的请求并返回
                            return my_axios(config);
                        }
                    })
                    .catch(() => {
                        sessionStorage.removeItem("tokenBo");
                        sessionStorage.removeItem("currentAdmin");
                        location.href = '/';
                    })
                    .finally(() => {
                        isNotRefreshing = true;
                    })
            } else {
            	//如果当前已经是处于刷新token的状态,就将请求置于请求队列中,这个队列会在刷新token的回调中执行,由于new关键子存在声明提升,所以不用顾虑会有请求没有处理完的情况,这段添加请求的程序一定会在刷新token的回调执行之前执行的
                return new Promise(resolve => {
                	//这里加入的是一个promise的解析函数,将响应的config配置对应解析的请求函数存到requests中,等到刷新token回调后再执行
                    requests.push(() => {
                        resolve(my_axios(config));
                    })
                })
            }
        } else {
            if (res.data.code == 10200) {
                return res.data;
            } else {
                if (res.data.code == 10409) {
                    sessionStorage.removeItem("tokenBo");
                    sessionStorage.removeItem("currentAdmin");
                    location.href = "/#/login"
                }
                Message.error(res.data.message);
                return res.data;
            }
        }

    },
    err => {
        if (err && err.response && err.response.status) {
            switch (err.response.status) {
                case 404:
                    Message.error("页面未找到");
                    break;
                case 401:
                    Message.error('没有权限访问')
                    break;
                case 500:
                    Message.error("系统维护中")
                    break;
                case 505:
                    Message.error("网络错误")
            }
        }
    }
)

原文链接  
关于实现token无感刷新的解决方案_老蛙@的博客-CSDN博客_无感刷新

方案二:使用旧token获取新token

如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一段时间自动刷新token,并且这个时候token一定要是没有过期的,因为如果已经过期的token也可以用来刷新,这和长期有效的token也没什么不同。但这种方式存在一定的问题:

为了保证同一时间,账户只被单个用户登录,后端必然要保证一个账户的多个token只有一个生效,最简单的方式就是使用分布式缓存中间件如redis,而存在并发请求时,可能前一个请求带着的是旧token,此时又到了刷新token的时间,就会产生请求的token与服务端存储的token不一致的问题
使用定时器是增加了性能的损耗,不是最佳的手段

还有一个 实现双token无感刷新_Andromeda_Y的博客-CSDN博客_双token实现

另一个  axios如何利用promise无痛刷新token - SegmentFault 思否

zz888888888
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现无感刷新token
weixin_56310628的博客
11-09 544
登录页面: methods:{ submitLogin:function () { this.$http.post("/auth/loginUser/login",this.formParams).then(res=>{ var ajaxResult = res.data; if(ajaxResult.success){ var accessToken = ajaxResult.result.
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
web api前后分离开发时,jwt token无感刷新的实现
qq_34309663的博客
08-23 956
基于.net web api,前后分离实现的无感刷新token的实现
无感刷新-token
最新发布
qq_62965575的博客
05-17 474
token实现无感刷新
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
实现token无感刷新
m0_70902093的博客
06-29 4519
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
Vue 无感刷新token
前端菜鸟好先森的博客
11-01 5580
Vue 无感刷新token刷新token的解决方案
请求时token过期自动刷新token操作
11-19
自动刷新`token`的流程通常是,当检测到一个请求因`token`过期而失败时,客户端自动向服务器发送刷新`token`的请求,获取新的`token`,然后用新`token`重试之前的失败请求。 在本文中,我们讨论的是使用`axios`库...
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无感刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
Android token过期刷新处理的方法示例
08-26
// 如果 Token 过期 再去重新请求 Token 然后设置 Token 的请求头重新发起请求 用户无感 String content = proceed.body().string(); if (isTokenExpired(content)) { String newToken = getNewToken(); ...
axios如何利用promise无痛刷新token的实现方法
12-08
在本文中,我们将探讨如何使用`axios`库和Promise来实现无痛刷新`token`的策略,以便在前端应用中确保用户在`token`过期时仍能顺畅地使用服务。这种需求通常出现在用户登录后,后端返回了一个`token`和其有效时间。...
Java如何做到无感刷新token含示例代码(值得珍藏)
01-19
【Java实现无感刷新Token详解】 在Web应用中,用户身份验证通常依赖于Token机制,如JWT(JSON Web Tokens)。然而,Token具有有效期限制,过期后可能导致用户被迫重新登录,影响用户体验。为了解决这一问题,我们...
VUE前端实现token无感刷新
老电影故事的博客
08-30 9141
说实话,这个其实没啥好讲的,要说有复杂度的话,也主要是在后端。实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的token进行覆盖,让用户感受不到token已过期。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3090
无感刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token无感刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
前端如何实现token无感刷新
xiangzhihong8的专栏
10-22 879
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值