前端token知识梳理:token如何存储?token过期如何处理?如何无感刷新token?

最新推荐文章于 2024-03-11 10:03:10 发布
最新推荐文章于 2024-03-11 10:03:10 发布
阅读量9.2k 收藏 129
点赞数 17
分类专栏: javascript vue 文章标签: 前端 javascript vue.js token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42960907/article/details/125503058
版权
javascript 同时被 2 个专栏收录
53 篇文章 12 订阅
订阅专栏
vue
22 篇文章 2 订阅
订阅专栏

在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间(为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子),没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的。

登录场景

在这里插入图片描述

那么既然token既然有过期时间,问题就来了

一、前后端交互的过程中token如何存储?

方法1:存在 cookie 中

cookie的大小约4k,兼容性在ie6及以上 都兼容,在浏览器和服务器间来回传递,因此它得在服务器的环境下运行,而且可以设定过期时间,默认的过期时间是session会话结束。

方法2:存在 localStorage 中

localStorage的大小约5M,兼容性在ie7及以上都兼容,有浏览器就可以,不需要在服务器的环境下运行, 会一直存在,除非手动清除 。

二、token过期时,前端该怎么处理?

方法1:跳回登陆页面重新登陆(不推荐)

在vue中我们可以在 axios 拦截器中这样写:

instance.interceptors.response.use(
  function (response) {
    // 对响应数据做点什么
    return response.data
  },
  function (error) {
    if (error.response) {
      if (error.response.status === 401) {
            Message.error('登陆过期请重新登陆!')
            setToken('')
            router.push({
              name: 'login'
            })
        }
      }
    }
    // 对响应错误做点什么
    return Promise.reject(error.response)
  }
)

方法2:重新获取token

出于本文的目的,我们将关注两种最常见的令牌类型:访问令牌和刷新令牌。

  • 访问令牌携带必要的信息以直接访问资源。换句话说,当客户端将访问令牌传递给管理资源的服务器时,该服务器可以使用令牌中包含的信息来决定客户端是否被授权。访问令牌通常具有到期日期并且是短暂的。
    在这里插入图片描述

  • 刷新令牌包含获取新访问令牌所需的信息。换句话说,每当访问令牌需要访问特定资源时,客户端可以使用刷新令牌来获得由认证服务器发布的新访问令牌。常见用例包括在旧的访问令牌过期后获取新访问令牌,或者首次访问新资源。刷新令牌也可以过期,但相当长寿。刷新令牌通常受到严格的存储要求,以确保它们不会泄露。
    在这里插入图片描述

总结: 服务器生成token的过程中,会有两个时间,一个是token失效时间,一个是token刷新时间。
刷新时间肯定比失效时间长,当用户的 token 过期时,你可以拿着过期的token去换取新的token,来保持用户的登陆状态,当然你这个过期token的过期时间必须在刷新时间之内,如果超出了刷新时间,那么返回的依旧是 401

所以要实现无痛刷新token,我们应该这样

  1. 在axios的拦截器中加入token刷新逻辑
  2. 当用户token过期时,去向服务器请求新的 token
  3. 把旧的token替换为新的token
  4. 然后继续用户当前的请求

在axios的拦截器中加入token刷新逻辑:

instance.interceptors.response.use(
  function (response) {
    // 对响应数据做点什么
    return response.data
  },
  function (error) {
    if (error.response) {
      if (error.response.status === 401) {
        // 如果当前路由不是login,并且用户有 “记住密码” 的操作
        // 那么去请求新 token
        if (router.currentRoute.name !== 'login') {
          if (getRemember() && getRefreshToken()) {
            return doRequest(error)
          } else {
            Message.error('登陆过期请重新登陆!')
            setToken('')
            router.push({
              name: 'login'
            })
          }
        }
      }
    }
    // 对响应错误做点什么
    return Promise.reject(error.response)
  }
)

async function doRequest (error) {
  const data = await store.dispatch('refreshToken')
  let { token_type: tokenType, access_token: accessToken } = data
  let token = tokenType + accessToken
  let config = error.response.config
  config.headers.Authorization = token
  const res = await axios.request(config)
  return res
}
 
// refreshToken 中重新设置了 token 和  refresh_token
commit('setToken', { token, expiresIn })
setRefreshToken(token, refreshTtl / (60 * 60 * 24))

总结

弄两个token,一个负责鉴权得token:access_token,一个负责刷新得token:refresh_token,
每次请求的时候都带上这两个token,后端拦截器判断,先判断鉴权access_token是否有效和过期,如果有效的话,就允许访问。如果过期了,就判断刷新refresh_token是否有效,如果有效,就返回指定状态码,然后让前端根据这个状态码去吊用刷新token接口。如果刷新token失效了,就提示需要重新登录!

https://juejin.cn/post/6854573219119104014#heading-9

卸载引擎
关注
  • 17
    点赞
  • 129
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
MJRefresh无刷新
07-11
MJRefresh无刷新 项目开发中用了MJRefres 刷新控件,每次上拉的时候都有个菊花转,需要下拉一下才能看到下一页的数据。产品提出需求,希望列表往下拉能直接出现下一页的数据,不需要出现加载的动画和等待时间。于是着手看了一下MJRefresh的源码,发现其提供了无刷新(自动刷新)的方法。
前端token值时效性问题怎么解决?
11-15
因为token值每次都是动态获取的且是有有效期的,token值设置有效期是为了防止token泄露 解决办法:在每次发送带token的请求接口前,先在请求拦截器中获取token,然后在响应拦截器中将刷新获取到的token值更新到需要测试的接口头文件中。
Vue中登录验证成功后保存token,并每次请求携带并验证token操作
11-19
在vue中,可以用**Storage(sessionStorage,localStorage)**来存储token,也可以用vuex来存储(但要考虑页面刷新数据消失问题,可以在vuex用Storage), 下面介绍用localStorage来存储: 在登录请求成功后,会返回一个token值,用loaclStorage保存 localStorage.setItem(‘token’,res.data.token) 在main.js中设置全局请求头和响应回来的判断 //设置axios请求头加入token Axios.interceptors.request.use(config => { i
在vue前端开发中基于refreshToken和axios拦截器实现token的无刷新
最新发布
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
03-11 3426
RefreshToken 方法是现代 Web 应用中一种常见的身份验证机制,尤其在需要长时间保持用户登录状态的场景下具有重要意义。RefreshToken 方法的主要作用是在用户登录后,服务器生成一个 RefreshToken 并将其返回给客户端。客户端在之后的每次请求中都需要携带这个 RefreshToken,以便服务器能够验证用户身份并返回用户所需的数据。使用场景包括但不限于:用户在应用中的长时间操作、用户在多个设备上使用应用、用户需要跨域访问应用等。
token过期时web前端如何自动刷新token
華華的博客
05-29 2万+
token处理登录的web系统,一般会有两个token:access-token和refresh-token。 node.js中,一般用jsonwebtoken这个模块。 access-token,是用户输入登录的账号密码,后台去db验证然后颁发的,它一般记录在浏览器的cookie中,并在浏览器关闭时自动删除,页面访问或ajax访问会自动通过cookie传回到后台,后台直接内存中校验,不用访...
前端开发必备】深入理解Token技术的实现原理和安全性
DevCorner的Pro技术博客
06-22 3170
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用中,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端前端可以将该Token保存在客户端,例如浏览器的Cookie或LocalStorage中,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用中得到了广泛应用。
前端实现token的无刷新--VUE
ZXH0122的博客
01-31 1404
token刷新的方案方案一:后端返回过期时间,前端判断token过期时间,去调用刷新token的接口缺点:需要后端提供一个token过期时间的字段;使用本地时间判断,若本地时间被修改,本地时间比服务器时间慢,拦截会失败。方案二:写个定时器,定时刷新token接口缺点:浪费资源,消耗性能,不建议采用方案三:在响应拦截器中拦截,判断token返回过期后,调用刷新token接口(⭕推荐使用)token失效后接口返回401。
关于 Token 过期问题的两种解决方案
热门推荐
m0_65812066的博客
01-06 3万+
手动更新token。拿到最新的token值后再重新发起刚刚因token过期的请求。2.refresh_token也有过期的时候,这时只能强行让用户自己重新登入了。手动更新token。拿到最新的token值后再跳回之前浏览的页面。时候,我们自己手动添加请求头为refresh_token。注意:1. 在请求响应器中做判断在非。请求头配置token,而。
前端token是什么意思?怎么设置保存?应用场景?实现思路?
m0_61663332的博客
11-09 3202
服务端生成的一串字符串,作为客户端进行请求的一个标识。信息,更新用户登录后的信息收集,封装。返回的状态码,设置拦截器,对失效。信息实现拦截登录,并提示用户。,实现用户退出登录,调用。
token 过期处理方案有哪些?
生命不息,挖坑不止
06-29 1万+
在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回登录界面,让用户重新登录。这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要登录,但可能会增加服务器负担。用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
vue实际运用:处理token过期
qq_45225759的博客
06-20 2235
处理token过期
前端token失效的主动处理
weixin_53500514的博客
08-25 2464
首先在登录获取token时存入一个时间戳,然后在发送请求时,在响应拦截器将token注入请求头时检查token是否过期。问题:如何判断token是否过期
django基于存储前端token用户认证解析
09-18
主要介绍了django基于存储前端token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Vue利用路由钩子token过期后跳转到登录页的实例
11-26
在Vue2.0中的路由钩子主要是用来拦截导航,让它完成跳转或前取消,可以理解为路由守卫。 分为全局导航钩子,单个路由独享的钩子,组件内钩子。 三种 类型的钩子只是用的地方不一样,都接受一个函数作为参数,函数传入三个参数,分别为to,from,next。 其中next有三个方法 (1)next(); //默认路由 (2)next(false); //阻止路由跳转 (3)next({path:’/’}); //阻止默认路由,跳转到指定路径 这里我使用了组件内钩子进行判断token过期后跳转到登录页,其他两种钩子可以去官网查看。 //路由前验证 beforeRouteEnter(to, f
vuex存储token示例
10-16
今天小编就为大家分享一篇vuex存储token示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue中前端利用refreshToken结合axios拦截器实现token的无刷新
01-16
7、RefreshToken过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求...
Android token过期刷新处理的方法示例
08-26
主要介绍了Android token过期刷新处理的方法示例,本文详细的介绍了2种方法,具有一定的参考价值,兴趣的小伙伴们可以参考一下
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue的token刷新处理的方法
10-18
主要介绍了vue的token刷新处理的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SyntaxError: Unexpected token '??='
07-30
引用[1]:根据你提供的引用内容,你遇到了一个SyntaxError: Unexpected token '??='的错误。这个错误通常是由于使用了JavaScript的新特性,而你的环境不支持这个特性导致的。具体来说,'??='是空值合并赋值运算符,它在ES2020中引入。如果你的环境不支持ES2020,就会报出这个错误。为了解决这个问题,你可以尝试升级你的环境,确保支持ES2020的语法。如果你使用的是Vue项目,可以检查你的babel配置,确保已经配置了对ES2020的支持。另外,你也可以尝试使用其他的语法来替代'??=',以达到相同的效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卸载引擎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值