前端token知识梳理:token如何存储?token过期如何处理?如何无感刷新token?

最新推荐文章于 2025-01-23 09:33:01 发布
最新推荐文章于 2025-01-23 09:33:01 发布
阅读量1.1w 收藏 141
点赞数 18
分类专栏: javascript vue 文章标签: 前端 javascript vue.js token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42960907/article/details/125503058
版权
本文探讨了在前后端交互中token的存储方式,包括cookie和localStorage,并详细阐述了token过期时的处理方法,如重新登录或刷新token。通过使用访问令牌和刷新令牌,可以在token过期时无痛刷新,保持用户登录状态。同时,文章介绍了在axios拦截器中实现token刷新的逻辑,确保用户体验的连续性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间(为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子),没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的。

登录场景

在这里插入图片描述

那么既然token既然有过期时间,问题就来了

一、前后端交互的过程中token如何存储?

方法1:存在 cookie 中

cookie的大小约4k,兼容性在ie6及以上 都兼容,在浏览器和服务器间来回传递,因此它得在服务器的环境下运行,而且可以设定过期时间,默认的过期时间是session会话结束。

方法2:存在 localStorage 中

localStorage的大小约5M,兼容性在ie7及以上都兼容,有浏览器就可以,不需要在服务器的环境下运行, 会一直存在,除非手动清除 。

二、token过期时,前端该怎么处理?

方法1:跳回登陆页面重新登陆(不推荐)

在vue中我们可以在 axios 拦截器中这样写:

instance.interceptors.response.use(
  function (response) {
    // 对响应数据做点什么
    return response.data
  },
  function (error) {
    if (error.response) {
      if (error.response.status === 401) {
            Message.error('登陆过期请重新登陆!')
            setToken('')
            router.push({
              name: 'login'
            })
        }
      }
    }
    // 对响应错误做点什么
    return Promise.reject(error.response)
  }
)

方法2:重新获取token

出于本文的目的,我们将关注两种最常见的令牌类型:访问令牌和刷新令牌。

  • 访问令牌携带必要的信息以直接访问资源。换句话说,当客户端将访问令牌传递给管理资源的服务器时,该服务器可以使用令牌中包含的信息来决定客户端是否被授权。访问令牌通常具有到期日期并且是短暂的。
    在这里插入图片描述

  • 刷新令牌包含获取新访问令牌所需的信息。换句话说,每当访问令牌需要访问特定资源时,客户端可以使用刷新令牌来获得由认证服务器发布的新访问令牌。常见用例包括在旧的访问令牌过期后获取新访问令牌,或者首次访问新资源。刷新令牌也可以过期,但相当长寿。刷新令牌通常受到严格的存储要求,以确保它们不会泄露。
    在这里插入图片描述

总结: 服务器生成token的过程中,会有两个时间,一个是token失效时间,一个是token刷新时间。
刷新时间肯定比失效时间长,当用户的 token 过期时,你可以拿着过期的token去换取新的token,来保持用户的登陆状态,当然你这个过期token的过期时间必须在刷新时间之内,如果超出了刷新时间,那么返回的依旧是 401

所以要实现无痛刷新token,我们应该这样

  1. 在axios的拦截器中加入token刷新逻辑
  2. 当用户token过期时,去向服务器请求新的 token
  3. 把旧的token替换为新的token
  4. 然后继续用户当前的请求

在axios的拦截器中加入token刷新逻辑:

instance.interceptors.response.use(
  function (response) {
    // 对响应数据做点什么
    return response.data
  },
  function (error) {
    if (error.response) {
      if (error.response.status === 401) {
        // 如果当前路由不是login,并且用户有 “记住密码” 的操作
        // 那么去请求新 token
        if (router.currentRoute.name !== 'login') {
          if (getRemember() && getRefreshToken()) {
            return doRequest(error)
          } else {
            Message.error('登陆过期请重新登陆!')
            setToken('')
            router.push({
              name: 'login'
            })
          }
        }
      }
    }
    // 对响应错误做点什么
    return Promise.reject(error.response)
  }
)

async function doRequest (error) {
  const data = await store.dispatch('refreshToken')
  let { token_type: tokenType, access_token: accessToken } = data
  let token = tokenType + accessToken
  let config = error.response.config
  config.headers.Authorization = token
  const res = await axios.request(config)
  return res
}
 
// refreshToken 中重新设置了 token 和  refresh_token
commit('setToken', { token, expiresIn })
setRefreshToken(token, refreshTtl / (60 * 60 * 24))

总结

弄两个token,一个负责鉴权得token:access_token,一个负责刷新得token:refresh_token,
每次请求的时候都带上这两个token,后端拦截器判断,先判断鉴权access_token是否有效和过期,如果有效的话,就允许访问。如果过期了,就判断刷新refresh_token是否有效,如果有效,就返回指定状态码,然后让前端根据这个状态码去吊用刷新token接口。如果刷新token失效了,就提示需要重新登录!

https://juejin.cn/post/6854573219119104014#heading-9

08-前端保存token
NikoChina的博客
06-12 1334
-- 导入session-storage.js--><noscript>
前端无感刷新Token机制代码详解:让用户免登录,流畅体验! JWT刷新token axios实现刷新tokentoken机制 token过期处理 前端token管理 认证机制 认证与授权
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
11-28 187
无感刷新 token 机制是提高用户体验的一个重要手段,它避免了频繁的登录操作,提升了应用的流畅性。通过合理的设计和实现,我们能够在确保安全的同时,也让用户在使用过程中几乎感觉不到登录状态的变化,带来更好的体验。
前端Token管理(获取、过期处理、异常处理及优化)_前端登录及登录过期
2401_85013615的博客
05-15 2269
/ 如果这正在刷新,返回一个 Promise ,并向刷新token成功后执行队列push 函数.// 判断access_token 是否过期且接口是否需要token。// 在请求的header中设置token。// 通过参数传 登录成功后的跳转地址。//如果获取token失败 抛出异常。// 执行获取token后的任务队列。// 刷新token后的任务队列。// 是否正在执行刷新token。// 判断是否有刷新token。//刷新token锁为true。// 登录成功后进行路由跳转。
如何前端token,后端获取token
tanxinji的博客
12-09 8384
在身份验证方面,Token通常用于替代传统的基于会话的身份验证机制,如使用Cookie+Session的方式。使用Token进行身份验证的好处是,服务器不需要在内存中保存用户的会话信息,因为Token本身包含了所有验证所需的信息。在前端,使用浏览器提供的 Web Storage(如LocalStorage或SessionStorage)或者使用HTTP Cookie来存储TokenToken是一种用于身份验证和授权的令牌(Token)机制,在网络通信中广泛使用。注解来接收前端传递的Token值。
token 一般设置多久过期
最新发布
Java&Develop的博客
01-23 1182
token 一般设置多久过期
前端token保存使用教程
Kane_qqq的博客
02-23 2756
vue前端利用localStorage存储token值并放到请求头headers实例_bentou_的博客-CSDN博客_localstorage存储tokenvue前端利用localStorage存储token值并放到请求头headers实例之前在关于登录接口的一篇博客里,我有提到过token,在这篇博客里我会介绍token前端如何存取,同时把它放在请求头里获取数据。1、关于token为什么要用TokenToken是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户
前端存放token
风情
02-19 4451
1、可以将token存储在 localstorage里面,在一个统一的地方复写请求头,让每次请求都在header中带上这个token, 当token失效的时候,后端肯定会返回401,这个时候在你可以在前端代码中操作返回登陆页面,清除localstorage中的token就好。 2、Storage的localStorage长期有效,sessionStorage关闭浏览器时会自动清除 3、vue...
前端token值时效性问题怎么解决?
11-15
因为token值每次都是动态获取的且是有有效期的,token值设置有效期是为了防止token泄露 解决办法:在每次发送带token的请求接口前,先在请求拦截器中获取token,然后在响应拦截器中将刷新获取到的token值更新到需要测试的接口头文件中。
vue前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
7、RefreshToken过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求...
请求时token过期自动刷新token操作
10-14
综上所述,这个实现利用了`axios`的拦截器功能,结合`localStorage`存储`token`,以及一个订阅-发布模型来处理`token`过期的情况。当`token`过期时,系统会自动刷新并恢复原来的请求,确保用户体验的连续性。这样的...
Android token过期刷新处理方法示例
08-26
// 如果 Token 过期 再去重新请求 Token 然后设置 Token 的请求头重新发起请求 用户无感 String content = proceed.body().string(); if (isTokenExpired(content)) { String newToken = getNewToken(); ...
UnhandledPromiseRejectionWarning: SyntaxError: Unexpected token??=‘ at Loader.moduleStrategy (
Aa12364567的博客
08-20 956
)是ES2021的语法,node v15.0.0以上才支持逻辑空赋值(?之前为了兼容旧代码使用的node版本是14。使用nvm切换16的node,成功解决。
vue实际运用:处理token过期
qq_45225759的博客
06-20 2542
处理token过期
token 过期处理方案有哪些?
热门推荐
生命不息,挖坑不止
06-29 2万+
在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回登录界面,让用户重新登录。这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要登录,但可能会增加服务器负担。用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
后端设置的token过期后,前端处理方法
这里是Mae。
03-03 1693
后端设置的token过期后,前端处理方法
Token存储方式
qq_44675204的博客
08-11 4165
Token: 访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求中携带,作为凭证。 Token在客户端的存储主要有: 1、localStroage、sessionStroage,二者主要区别在于,关闭浏览器sessionStroage会被清除,但localStroage不会。将Token存于Web Stroage会导致容易受到XSS攻击,因为Web Stroage作为一种存储机制,在传输过程中不会执行任何安全标准,所以要
前端token失效的主动处理
weixin_53500514的博客
08-25 2598
首先在登录获取token时存入一个时间戳,然后在发送请求时,在响应拦截器将token注入请求头时检查token是否过期。问题:如何判断token是否过期
前端token是什么意思?怎么设置保存?应用场景?实现思路?
m0_61663332的博客
11-09 3845
服务端生成的一串字符串,作为客户端进行请求的一个标识。信息,更新用户登录后的信息收集,封装。返回的状态码,设置拦截器,对失效。信息实现拦截登录,并提示用户。,实现用户退出登录,调用。
react 从cookie中获取token
10-30
在React应用中,从Cookie中获取Token通常需要进行以下几个步骤: 1. **浏览器访问**: 首先,当用户登录时,服务器会将Token设置为Cookie,并返回给客户端(通常是前端)。React组件作为用户的界面层,并不会直接操作Cookie,它依赖于浏览器的JavaScript API。 2. **JavaScript API**: 使用JavaScript的`document.cookie`属性可以读取所有的Cookie。例如,你可以这样做: ```javascript function getTokenFromCookie() { const cookies = document.cookie.split(';'); for (let i = 0; i < cookies.length; i++) { const cookiePair = cookies[i].trim().split('='); if (cookiePair[0] === 'your_cookie_name') { // 替换为实际的cookie名 return decodeURIComponent(cookiePair[1]); // 解码Token值 } } return null; } ``` 3. **状态管理**: 获取到Token后,通常需要将其保存在一个应用程序的状态管理库(如Redux、MobX或React Context)里,以便在整个应用生命周期内使用。例如,在Redux中: ```javascript import { useSelector } from 'react-redux'; function useToken() { const token = useSelector(state => state.token); // 如果未找到Token,可以从Cookie获取 return token || getTokenFromCookie(); } // 使用这个hook的地方 const App = () => { const token = useToken(); //... }; ``` 4. **安全性注意事项**: 一定要注意,尽管Cookie有时用于存储敏感信息,但它们不是安全的存储手段,因为它们是明文传输的。如果Token包含敏感信息,最好使用更安全的方式,如本地存储或JWT(JSON Web Tokens)。 **相关问题:** 1. 怎么处理过期的Cookie中的Token? 2. 使用React如何避免跨域访问时Cookie的问题? 3. Redux之外,还有哪些状态管理方案可以结合使用获取和存储Token?
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卸载引擎

如果对您有帮助,请赏个饭吃

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值