前端JWT token维护方案

最新推荐文章于 2022-12-07 14:31:27 发布
最新推荐文章于 2022-12-07 14:31:27 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 个人代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010214074/article/details/106821089
版权

一、需求描述:

前端登录后,后端返回acToken和acToken有效时间以及refreshToken,然后在request.headers带上acToken,当acToken过期时要用refreshToken去获取新的acToken,当refreshToken过期前端跳转到登录页,获取新的acToken时要做到用户无感知。

 二、分析

当用户发起一个请求时,判断acToken是否已过期,若已过期则先调refreshToken接口,拿到新的acToken后再继续执行之前的请求。

这个问题的难点在于:

1、当同时发起多个请求,而刷新acToken的接口还没返回,此时其他请求该如何处理?

2、假如请求中带有用户行为,比如一个购买按钮,点击它会先发起用户是否被禁用接口,如果没有禁用,则跳转到购买页,否则弹窗提示。

三、方案

1、在请求发起前拦截每个请求,判断acToken的有效时间是否已经过期,若已过期,则将请求挂起,先刷新acToken后再继续请求。

  • 优点: 在请求前拦截,能节省请求,省流量。
  • 缺点: 需要后端额外提供一个acToken过期时间的字段;使用了本地时间判断,若本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败。
PS:acToken有效时间建议是时间段,类似缓存的MaxAge,而不要是绝对时间。当服务器和本地时间不一致时,绝对时间会有问题。

2、不在请求前拦截,而是拦截返回后的数据。先发起请求,接口返回过期后,先刷新acToken,再进行一次重试。

  • 优点:不需额外的acToken过期字段,不需判断时间。
  • 缺点: 1、会消耗多一次请求,耗流量 2、请求then之后有用户行为,无法执行。
     

因为方案2没有解决到难点2,故此使用方案1,如有办法再研究

 

四、实现代码如下:

let isRefreshing = false
let requests =[]
function getJwtTokenVO(){
    return localStorage.getItem('jwtTokenVO')?JSON.parse(localStorage.getItem('jwtTokenVO')):''
}
// request interceptor
service.interceptors.request.use(
    config => {
        // 过滤掉刷新token接口(避免死循环!!!!)和登录接口
  if (config.url.indexOf('/refreshToken') >= 0 || config.url.indexOf('/login') >= 0) {
            return config
        }
        const jwtTokenVO = getJwtTokenVO()
        if (jwtTokenVO) {
            config.headers={...config.headers,acToken:jwtTokenVO.accessToken}
            const now = new Date().getTime()
            const accessTokenExpire = jwtTokenVO.accessTokenExpire //这个是绝对时间戳
  // 稳妥要提前一点时间刷新token
  if (now > (accessTokenExpire-5000)) {
                // 立即刷新token
  if (!isRefreshing) {
                    console.log('正在刷新token')
                    isRefreshing = true
  fetchRefreshToken({ token: jwtTokenVO.refreshToken }).then(resData => {
                        // 刷新token接口的时候可能引起refreshToken过期跳转登录页,这里没有进service.interceptors.response
  if (resData.code * 1 === 5004) {
                            localStorage.removeItem('jwtTokenVO')
                            let href = window.location.href
  /* refreshToken失效 这个code需要再修改 */
  window.location.href = `${location.origin}${location.pathname}${location.search}#/login?orgId=${localStorage.getItem('lc_orgId')}&next=${href}`
  return ''
  }
                        if (resData.code * 1 === 1) {
                            console.log('重新获取accessToken 成功')
                            /* 重新赋值accessToken */
  localStorage.setItem('jwtTokenVO', JSON.stringify(resData.data))
                            axios.defaults.headers['acToken'] = resData.data.accessToken
  }
                        isRefreshing = false
 return resData.data.accessToken
  }).then((accessToken) => {
                        console.log('刷新token成功,执行请求队列')
                        if(accessToken){
                            requests.forEach(cb => cb(accessToken))
                            // 执行完成后,清空队列
  requests = []
                        }
                    }).catch(res => {
                        console.error('刷新token error: ', res)
                    })
                }
                const requestList = new Promise((resolve) => {
                    requests.push((accessToken) => {
                        // 刷新config的旧token
  config.headers['acToken'] = accessToken
                        resolve(config)
                    })
                })
                return requestList
                //
  }
        }
        return config
    },
  error => {
        console.log(error) // for debug
  return Promise.reject(error)
    }
)
// 请求返回后拦截
instance.interceptors.response.use(response => {
    const { code } = response.data
  if (code === 5004) {
        localStorage.removeItem('jwtTokenVO')
        let href = window.location.href
  /* refreshToken失效 这个code需要再修改 */
  window.location.href = `${location.origin}${location.pathname}${location.search}#/login?orgId=${localStorage.getItem('lc_orgId')}&next=${href}`
  }
    return response
}, error => {
    console.log('catch', error)
    return Promise.reject(error)
})

参考链接:https://segmentfault.com/a/1190000020986592?utm_source=tag-newest

阿之阿佐
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN使用及在C#中的实现
一百六十八
ouhou999的博客
12-28 179
简介 登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~ 淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题): 1.登录时的验证码 2.自动登录的实现 3.怎么维护前后端登录 在这和大家分享下我实现此功能的过程,包括一些技术和心得 1.登录时的验证码 为什么要验证码,原因很简单,防止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器 验证码的出现,使得每次登录都有个动变量需要输入,无法用脚本写死代码 具体可以参考:滑动验证码的设计和理解 2.自动登录的实现 所谓自动登录,指的
关于Token过期的问题
01-05 7146
access_token 作用:获取需要授权的接口数据 expires_in 作用:access_token 过期的时间 refresh_token 作用:刷新获取新的 access_token 为什么access_token需要有过期时间以及比较短 为了安全 怎么处理? 方法一: 在请求发起拦截每个请求,判断token的有效时间是否已经过期,若已过期,则讲请求挂起,先刷新token后再继续请求 优点:在请求前拦截,能节省请求,省流量 缺点:需要后端额外
微信小程序python token验证_Django实现微信小程序的登录验证功能并维护登录
weixin_39627201的博客
11-28 586
这次自己做了一个小程序来玩,在登录方面一直有些模糊,网上看了很多文档后,得出以下一种解决方案。环境说明:1、小程序只需要拿到openid,其他信息不存储。2、Django自带的User类不适合。具体操作流程:1、用户点进小程序,就调用wx.login()获取临时登录凭证code, wx.login()用户是无感知的,2、通过wx.request()将code传到开发者服务器的后台程序,3、后台拿到...
前端应该掌握的登录认证知识
油墨香^-^的博客
12-07 1405
前一段时间,参与了老项目的迁移工作,配合后端接口迁移时,由于两个项目采取了不一样的登陆方案,所以遇到了跨域登录无法共享的问题。经过各方协调,最终老项目将迁移页面部署在新项目的指定网关下,并且使用新项目的SSO登录方案。由迁移中遇到的登陆共享问题,引发了我对SSO的思考与学习。如果发现文章中有什么错误之处,请及时指正~🙈2.1.1 是什么?JWT是一个开放的 JSON 格式 token 存储标准。它定义了一种安全、紧凑的方式来保存数据,通过签名的方式来校验 token 的合法性,主要支持的签名算法如 H
封装 axios 拦截器实现用户无感刷新 access_token
油墨香^-^的博客
07-13 425
最近做项目的时候,涉及到一个单点登录,即是项目的登录页面,用的是公司共用的一个登录页面,在该页面统一处理逻辑。最终实现用户只需登录一次,就可以以登录访问公司旗下的所有网站。其中本文讲的是在登录后如何管理和,主要就是封装 axios拦截器,在此记录。前置场景转存失败重新上传取消进入该项目某个页面需要登录,未登录就跳转至SSO登录平台,此时的登录网址 url为,其中是后台那边约定定义好的,是成功授权后指定的回调地址。输入账号密码且正确后,就会重定向回刚开始进入的页面,并在地址栏带一个参数 ,即是,code的
Web开发 身份验证 | SpringBoot 整合 JWT | 前后端不分离的案例 | Cookie、Session、TokenJWT概述与比较
希望每天都能进步一点点
07-24 1524
本篇文章记录了Cookie、Session、TokenJWT 四者的基本概念,包括它们之间的区别,同时通过简单的 Web Demo ,分别以简单版本和拦截器版本两种版本尝试了JWT 的基本使用,熟悉了其组成结构,Header、Payload 和 Signature,前两个是基于Base64编码的,而签名 SIgnature 则是由服务端来决定,通过【加密算法】 + 【密钥】规定一种加密机制,从而确定签名。.........
前端JWT token维护方案(补充)
阿之阿佐
04-21 431
一、前言 JWTToken登录认证是目前比较流行的跨域认证解决方案。原理在于将认证信息保存在客户端,下次访问其他页面时,需要从客户端传递认证信息回服务器端 具体实现如下: 1.登录成功,后端生成带有access_token并返回前端前端将access_token保存到本地(cookie或者localStorage,cookie遇跨域问题可以设置withCredentials) 2.其他请求将使用access_token请求接口资源,后端access_token校验通过则调用接口成功;如果toke
【全栈前端】了解JWT
weixin_42132860的博客
09-22 374
服务器认证后,生成一个JSON对象,后续通过JSON进行通信。数据组成结构:Header.Payload.Signature。JWT是一种跨域认证的解决方案,可以来做单点登录
JWT---Token身份令牌验证
weixin_47339511的博客
06-02 1144
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证的token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也...
JWT详解
jiangyyyeff的博客
11-29 1093
jwt详解
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解JWT token心得与使用实例
01-21
JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串: eyJhbGciOiJIUzI1NiJ9 有效...
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
es6的一些笔记(数组去重,new Set())
热门推荐
阿之阿佐
04-18 5万+
new Set(),用来去重数组。let arr = [1, 2, 2, 3];let set = new Set(arr);let newArr = Array.from(set);console.log(newArr); // [1, 2, 3]Set类似于数组,区别在于它所有的成员都是唯一的,不能有重复的值...
vue+element-ui,树形表格,可以做权限管理模块,可折叠,全选,部分全选
阿之阿佐
07-13 4万+
html部分: class="role-table col-xs-offset-2 col-md-offset-1 col-sm-offset-2"> class="header"> class="left">菜单列表 class="right">功能权限 class="vertical-line"> v-for="(item
element table 自定义表头
阿之阿佐
03-07 1万+
companyRenderHeader(h, { column, $index }){ return h("span",[ h("span",{ "class":{ "red-star":true } },"*"), h("span","委托方"), ]) 官网api: https://cn.vuejs.org/v2/...
js 根据url 下载图片
阿之阿佐
10-19 1万+
downloadIamge(imgsrc, name) {//下载图片地址和图片名 let image = new Image(); // 解决跨域 Canvas 污染问题 image.setAttribute("crossOrigin", "anonymous"); image.onload = function() { let canvas = document.cr...
js打印,设置页面边距
阿之阿佐
07-28 1万+
@page{ margin:0 }
jwttoken过期
最新发布
07-27
1. 获取新的Token:如果您的JWT Token已过期,您可以向相应的身份验证服务请求一个新的Token。请确保在请求新Token时提供正确的凭据和必要的身份验证信息。 2. 刷新Token:有些身份验证服务提供了Token刷新机制。您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值