Token刷新机制

于 2024-07-01 19:32:06 发布
阅读量931 收藏 15
点赞数 20
文章标签: 前端 vue.js vue javascript typescript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43914605/article/details/140105907
版权

Token刷新机制

背景

现在的网站基本会设置授权访问,对于某些资源的访问,需要有权限才能访问或者操作,而服务端判断用户是否有权访问或者操作,一般是通过Token实现,而Token一般会设置过期时间,对于关于授权方面的技术这里不会具体描述,这篇主要针对的是用户访问授权资源的时候,Token过期了,如何实现无需再次登录,无痛刷新Token,重新请求。以下是几种可实现的方法

在前端实现刷新 token(access token)的方法有多种,每种方法都有其优点和缺点。以下是几种常见的方法及其评估:

1. 基于定时器的自动刷新

实现方式

使用 setTimeoutsetInterval 定时在 token 过期前一定时间内自动发起刷新请求。

let refreshTokenTimeout;

const setRefreshTokenTimer = (expiresIn) => {
  // 设置定时器,在 token 过期前 5 分钟刷新
  const refreshTime = expiresIn - 300000; // 5分钟
  refreshTokenTimeout = setTimeout(refreshToken, refreshTime);
}

const refreshToken = async () => {
  try {
    const response = await fetch('/refresh-token');
    const data = await response.json();
    // 假设返回数据包含新的 access token 和它的过期时间(expiresIn)
    localStorage.setItem('refreshToken', data.refreshToken);
    setRefreshTokenTimer(data.expiresIn);
  } catch (error) {
    console.error("Failed to refresh token", error);
    // 可以根据需要处理错误,例如跳转到登录页面
  }
}

// 初次设置定时器,这种需要后台返回token的过期时间,或者用户登录的时候获取token的时候同时存储当前的时间于localStorage
setRefreshTokenTimer(initialExpiresIn);

优点

  • 简单易实现:逻辑简单,易于理解和实现。
  • 自动化管理:无需用户干预,token 刷新完全自动化。

缺点

  • 不适用于后台刷新:如果用户离开页面或浏览器 tab 被挂起,定时器可能无法正常工作。
  • 资源消耗:可能会导致不必要的网络请求,特别是在用户不活跃时。

2. 基于请求拦截器的刷新

实现方式

在每个 API 请求之前检查 token 是否即将过期,如果即将过期,则首先刷新 token,然后再继续发送请求。

// 使用 Axios 作为示例请求库
import axios from 'axios';

const http= axios.create({
  baseURL: '/api',
  timeout: 10000,
});

http.interceptors.request.use(async (config) => {
  const token = localStorage.getItem('refreshToken');
  const expiryTime = localStorage.getItem('tokenExpiryTime');

  if (expiryTime && Date.now() >= expiryTime - 300000) { // 提前5分钟刷新
    const newTokenData = await refreshToken();
    config.headers['Authorization'] = `Bearer ${newTokenData.refreshToken}`;
  } else {
    config.headers['Authorization'] = `Bearer ${token}`;
  }

  return config;
}, (error) => {
  return Promise.reject(error);
});

const refreshToken = async () => {
  try {
    const response = await apiClient.post('/refresh-token');
    const data = await response.data;
    localStorage.setItem('refreshToken', data.refreshToken);
    localStorage.setItem('tokenExpiryTime', Date.now() + data.expiresIn);
    return data;
  } catch (error) {
    console.error("Failed to refresh token", error);
    throw error;
  }
};

// 在需要时使用 apiClient 发出请求
http.get('/some-protected-endpoint').then(response => {
  console.log(response.data);
});

优点

  • 高效:仅在需要时刷新 token,减少不必要的网络请求。
  • 适用于后台刷新:即使页面在后台运行,也能确保 token 始终有效。

缺点

  • 复杂度增加:需要处理并发刷新请求的问题,同一时刻多个请求可能触发多次刷新。
    比如,getApi1,getApi2同时并发请求,都会经过Token过期判断,都会发情token刷新请求,对于页面并发请求,比如多文件上传之类的并发,如果并发6条数据,则会请求6次token的刷新。

  • 额外延迟:首次请求可能因为 token 刷新而略有延迟。

3. 基于响应拦截器的刷新(最常用)

实现方式

当 API 请求返回 401 Unauthorized 错误时,尝试刷新 token 并重新发送原始请求。

import axios, { AxiosInstance, AxiosRequestConfig, AxiosResponse, InternalAxiosRequestConfig } from 'axios';
const http: AxiosInstance = axios.create({
  baseURL: '/baseapi', //Mock
  timeout: 10000,
});
const openTokenRefresh = false; // 是否开启token刷新,如果开启,就设置为true就好
const pendingRequests: ((token: string) => void)[] = []; // 保存所有请求的回调,用于刷新token后重新请求
const onTokenRefreshed = (token: string):void => {
  // 刷新token后,重新请求,
  pendingRequests.forEach((callback) => {
    callback(token);
  });
  pendingRequests.length = 0;
};
const addPendingRequest = (callback: (token: string) => void) => {
  pendingRequests.push(callback);
};
//是否正在刷新token
let isRefreshing = false;

http.interceptors.response.use((response: AxiosResponse<any>) => response, async (error) => {
  if (error.response && error.response.status === 401 && openTokenRefresh) {
  	//获取refreshToken 
 	const refreshToken = localStorage.getItem('refreshToken');
    if (!refreshToken) {
        //没有refreshToken,跳转登录页面
      window.location.href('/login')
      return Promise.reject('登录失效,请重新登录');
    }
    if (!isRefreshing) {
      try{
         isRefreshing = true;
         //请求更新token
      	 const data= await updataToken(refreshToken);
       	 localStorage.setItem('token', data.token);
       	 localStorage.setItem('refreshToken', data.refreshToken);
       	 onTokenRefreshed(data.token);
       }catch(err){
       	  window.location.href('/login')
       	  return Promise.reject(err)
       }
       finally{
      	  isRefreshing = false
       }
    }
	      //存储当前请求
      return new Promise<AxiosResponse<any>>((resolve) => {
        addPendingRequest((newToken: string) => {
          response.config.headers['Authorization'] ='Bearer'+ newToken;
          resolve(http(response.config));
        });
      });
  }

  return Promise.reject(error);
});

优点

  • 高效:只有在必要时才刷新 token,避免不必要的请求。
  • 灵活性:能够处理 token 失效后的各种情况,包括并发问题。

缺点

  • 复杂度较高:需要处理并发刷新、请求队列等问题,代码复杂度高。
  • 延迟:第一次请求失败后需要等待 token 刷新,再次重试,可能会增加延迟。

总结

方法优点缺点
基于定时器的自动刷新简单易实现,自动化管理不适用于后台刷新,可能导致不必要的网络请求
基于请求拦截器的刷新高效,适用于后台刷新,减少不必要的网络请求,复杂度增加,需要处理并发刷新问题,同一时刻多个请求可能触发多次刷新。首次请求可能延迟
基于响应拦截器的刷新只有在必要时才刷新 token,避免不必要的请求,能够处理 token 失效后的各种情况,包括并发问题。首次请求失败可能增加延迟

选择哪种方法取决于你的具体需求和系统架构,通常基于请求拦截器和响应拦截器的方法更为普遍,因为它们能够更好地应对复杂的实际场景。

Backstroke fish
关注
  • 20
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
vue下axios拦截器token刷新机制的实例代码
11-21
为了增强安全性并处理认证问题,通常会使用JWT(JSON ...通过这样的机制,即使token过期,应用也能在后台无感知地完成刷新过程,只有在刷新失败时才会强制用户重新登录。这种方式对于需要持续在线交互的应用非常有用。
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
vue前端开发中基于refreshToken和axios拦截器实现token的无感刷新
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
03-11 4688
RefreshToken 方法是现代 Web 应用中一种常见的身份验证机制,尤其在需要长时间保持用户登录状态的场景下具有重要意义。RefreshToken 方法的主要作用是在用户登录后,服务器生成一个 RefreshToken 并将其返回给客户端。客户端在之后的每次请求中都需要携带这个 RefreshToken,以便服务器能够验证用户身份并返回用户所需的数据。使用场景包括但不限于:用户在应用中的长时间操作、用户在多个设备上使用应用、用户需要跨域访问应用等。
前端实现token的无感刷新#记录
junsens的博客
04-07 2062
因为服务器的token一版不会设置太长,token过期后就需要重新登录,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token
token刷新
weixin_43887958的博客
04-15 150
private static final Logger logger = LoggerFactory.getLogger(LoginTools.class); /** * 用户token,eg. token:1245637858 */ private final static String TOKEN_KEY = "token:%s"; /** * 在多长时间内用户不用再次登录,比如3月1日登录了,expires为7天,那么用户 * 在3月8日
token刷新问题
qq_54951190的博客
10-24 2196
双拦截器实现token刷新问题
token令牌刷新
DTCloud
04-12 323
在使用API时,客户端会将访问令牌包含在每个请求中,以便服务器可以对其进行验证并检查访问权限。然而,这种访问令牌有一定的有效期限制,为了防止令牌过期,需要刷新令牌。在DTCloud中,令牌刷新可以通过一些不同的方法来实现。在许多API应用程序中,客户端与服务器之间的通信是通过使用访问令牌(Token)进行身份验证和授权的。令牌刷新是一个简单的过程,它在令牌过期之前向服务器发送一个请求,并接收一个新的令牌。这个新的令牌通常比旧令牌更长寿,并且可以在客户端与服务器之间的通信中使用,以确保访问仍然有效。
token刷新token刷新token刷新
最新发布
04-09
在IT行业中,Token是一种常见的身份验证机制,广泛应用于Web应用、API接口以及移动应用等场景。"Token刷新"是这个话题的核心,它涉及到用户...理解和实现有效的Token刷新机制对于任何IT专业人员来说都是至关重要的。
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
token刷新token
hxx1024的博客
10-07 656
token刷新token import axios from 'axios' import store from '@/store' import { Message } from 'element-ui' import router from '@/router' import qs from 'qs' const request = axios.create({ // 配置选项 // baseURL, // timeout }) function redirectLogin ()
十二、存token获取token刷新token发送header头
weixin_34352005的博客
05-29 149
//测试token //获取token function setToken(data){ var storage = window.localStorage; if(!storage){ alert("浏览器不支持localstorage"); return false; } var token = data.acce...
关于token无痛刷新的两个方案
Yugoup的博客
04-25 2260
目录方案一方案二 方案一 思路: 后端需要返回一个token过期的时间,在请求发起前拦截每个请求,判断token的有效时间是否已经过期,如果已过期,则暂时将请求挂起,先刷新token后再继续请求。 前期思考: 返回过期时间是为了判断是否过期的,但是如果服务器时间和系统时间不一致呢? 如果同时发起多个请求时怎么办? 实现: 因为是在请求前进行拦截,所以这里用axios的axios.interceptors.request.use()方法 首先,关于服务器时间和系统时间不一致的问题,我的解决方法是:
VUE前端实现token的无感刷新,即refresh_token
程序猿的傻白甜
05-23 2812
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。:需要后端额外提供一个token过期时间的字段;
实现token的无感刷新
m0_70902093的博客
06-29 4552
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
手牵手带你实现无痛刷新token!什么,uniapp中还不会,那也手拉手带你实现一下吧
weixin_44995391的博客
06-05 3588
手牵手带你实现无痛刷新token!什么,uniapp中还不会,那也手拉手带你实现一下吧
基于token的登录验证服务器,一种基于JWT认证token刷新机制研究
weixin_29057695的博客
07-30 381
周虎摘 要:JWT(JsonWebToken)认证作为一种服务器端无状态验证方式,在分布式开发中得到了广泛的应用。但是,由于token信息的本身特点,支持的有效时间是固定的,当在token有效时间内用户操作没有完成,操作就会中断,需要重新登录验证。本文通过对比传统Cookie/Session身份验证机制在分布式开发中存在的不足,提出了一种基于JWT认证过程中动态刷新token的方法,有效地解决了...
access_token刷新机制
04-04
Access Token 刷新机制是为了避免 Access Token 过期而导致用户需要重新授权的问题。当用户授权后,系统会颁发一个 Access Token,该 Token 通常有一个有效期限。在这个有效期限内,用户可以使用该 Token 进行 API 调用等操作。但是一旦过期,该 Token 就无法使用了。为了避免这种情况,系统通常会提供一个 Access Token 刷新机制。 Access Token 刷新机制的工作原理如下: 1. 当 Access Token 快要过期时,客户端将请求刷新 Access Token。 2. 服务端验证客户端的身份和权限,并重新颁发一个新的 Access Token。 3. 客户端使用新的 Access Token 进行 API 调用等操作。 刷新 Access Token 的过程通常是自动完成的,对用户来说是透明的。这样就可以保证用户的操作不会因为 Access Token 过期而中断,提高了用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值