实现用户无感知刷新token

最新推荐文章于 2024-05-27 09:14:16 发布
最新推荐文章于 2024-05-27 09:14:16 发布
阅读量2k 收藏 22
点赞数 4
文章标签: java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50255400/article/details/119242487
版权

文章目录

1. 需求

前端登录后,后端返回tokenrefreshToken,当token过期时要求用refreshToken去获取新的token,前端需要做到无感知请求刷新token

2. 解决思路

当用户发起一个请求时,判断token是否已过期,若已过期则先调用refreshToken接口,拿到新的token后再继续执行之前的请求。

方法:在响应拦截器中对请求返回结果进行拦截,判断token 返回过期后,调用刷新token接口,然后再重新进行一次请求。

难点:当同时发起多个请求,而刷新token的接口还没返回,此时其他请求该如何处理?

优化

  • 如何防止多次刷新token

​ 如果refreshToken接口还没返回,此时又有一个过期的请求进来,上面的代码就会再一次执行refreshToken,这就会导致多次执行刷新token的接口,因此需要防止这个问题。

我们可以在request.js中用一个flag来标记当前是否正在刷新token的状态,如果正在刷新则不再调用刷新token的接口。

  • 同时发起两个或以上的请求时,其他接口如何重试

​ 两个接口几乎同时发起和返回,第一个接口会进入刷新token后重试的流程,而第二个接口需要先存起来,然后等刷新token后再重试。同样,如果同时发起三个请求,此时需要缓存后两个接口,等刷新token后再重试。由于接口都是异步的,处理起来会有点麻烦。

​ 当第二个过期的请求进来,token正在刷新,我们先将这个请求存到一个数组队列中,想办法让这个请求处于等待中,一直等到刷新token后再逐个重试清空请求队列。

​ 为了解决这个问题,我们得借助Promise。将请求存进队列中后,同时返回一个Promise,让这个Promise一直处于Pending状态(即不调用resolve),此时这个请求就会一直等啊等,只要我们不执行resolve,这个请求就会一直在等待。当刷新请求的接口返回来后,我们再调用resolve,逐个重试。

3. 代码实现

  • src/utils/request.js
// 创建axios实例
const service = axios.create({
    // axios中请求配置有baseURL选项,表示请求URL公共部分
    // baseURL: process.env.VUE_APP_BASE_API,
    baseURL: '/api',
    // 超时
    timeout: 10000
})

// request拦截器
service.interceptors.request.use(config => {
    const token = getToken()
    if (token) {
        config.headers['Authorization'] = 'Bearer ' + token // 让每个请求携带自定义token 请根据实际情况自行修改
    }
    return config;
}, error => {
    console.log(error)
})

// 重试队列,每一项将是一个待执行的函数形式
let requests = []

// 响应拦截器
service.interceptors.response.use(res => {
    if (res.data.status === 10) {
        // 获取当前失败的请求
        const config = res.config;		
        // 判断当前是否正在刷新token
        if (GlobalVariable.refreshFlag === 0) {
            GlobalVariable.refreshFlag = 1;
            // 刷新token
            return refreshToken().then(res => {
                const token = res.data.access_token
                // 在session中记录token信息
                setToken(token)
                setRefreshToken(res.data.refresh_token)
                setScope(res.data.scope)
                // 将token信息传递给后端(如果refreshToken是后端进行操作的,那么token已经保存在后端,就无需传递了)
                setUserToken(res.data)
                // 已经刷新了token,将所有队列中的请求进行重试
                requests.forEach(cb => cb(token))
                // 重试完了清空这个队列
                requests = []
                return service(config)
            }).finally(() => {
                GlobalVariable.refreshFlag = 0;
            })
        } else {
            // 正在刷新token,将返回一个未执行resolve的promise
            return new Promise((resolve) => {
                // 将resolve放进队列,用一个函数形式来保存,等token刷新后直接执行
                requests.push(() => {
                    resolve(service(config))
                })
            })
        }
    }
    console.log(res)
    return res;
}, err => {
    console.log(err);
    return Promise.reject(error)
})

以上已经成功解决无感知刷新token问题。

4. 其他

4.1 前置守卫

记录下前置守卫的写法

  • src/main.js
// 获取url地址栏中的参数
function GetQueryString(name) {
    let reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
    let r = window.location.search.substr(1).match(reg);
    if (r != null) return unescape(r[2]);
    return null;
}

// 前置守卫(gard)
// to 将要访问的路径
// from 从哪个路径跳转而来
// next是一个函数 表示放行
// next() 放行 next('/login') 强制跳转到login
// 从from跳转到to
router.beforeEach((to, from, next) => {
    if (getToken()) {
        /* has token*/
        next()  // 直接跳转
    } else {
        // 没有token
        let code = GetQueryString("code");
        if (code) {
            request({
                url: '/oauth/token',
                params: {
                    grant_type: 'authorization_code',
                    code: code,
                    client_id: GlobalVariable.appClientId,
                    client_secret: GlobalVariable.clientSecret,
                    redirect_uri: GlobalVariable.redirectUri,
                },
            }).then((res) => {
                setToken(res.data.access_token)
                setRefreshToken(res.data.refresh_token)
                setScope(res.data.scope)
                setUserToken(res.data).then(() => {
                    getInfo().then(res => {
                        localStorage.setItem("ms_username", res.data.data.login_name)
                        getUserInfo(res.data.data.login_name).then(res => {
                            localStorage.setItem("regionId", res.data.data.regionId)
                            localStorage.setItem("deptId", res.data.data.deptId)
                            localStorage.setItem("deptLevel", res.data.data.deptLevel)
                            window.location.href = GlobalVariable.redirectUri
                        })
                    })
                })
            })
        } else {
            alert("请从用户中心进入!")
            window.location.href = GlobalVariable.loginUrl
        }
    }
    NProgress.done()
})
4.2 token存储方式

存储token有Cookie、 LocalStorage 、 SessionStorage三种方式

三者的异同

特性CookielocalStoragesessionStorage
数据的生命期一般由服务器生成,可设置失效时间。如果在浏览器端生成Cookie,默认是关闭浏览器后失效除非被清除,否则永久保存仅在当前会话下有效,关闭页面或浏览器后被清除
存放数据大小4K左右一般为5MB
与服务器端通信每次都会携带在HTTP头中,如果使用cookie保存过多数据会带来性能问题仅在客户端(即浏览器)中保存,不参与和服务器的通信
易用性需要程序员自己封装,源生的Cookie接口不友好源生接口可以接受,亦可再次封装来对Object和Array有更好的支持

相同点:三者都可以被用来在浏览器端存储数据,而且都是字符串类型的键值对。

参考:

0129y
关注
  • 4
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
无感刷新 token
阿城的博客
11-03 1453
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
实现无感刷新token
weixin_56310628的博客
11-09 546
登录页面: methods:{ submitLogin:function () { this.$http.post("/auth/loginUser/login",this.formParams).then(res=>{ var ajaxResult = res.data; if(ajaxResult.success){ var accessToken = ajaxResult.result.
实现token的无感刷新
m0_70902093的博客
06-29 4526
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
在vue前端开发中基于refreshToken和axios拦截器实现token的无感刷新
最新发布
05-27 534
基本的思路是这样的,你也可以根据自己的业务需要,自己修改。比如抽离上面的方法或逻辑,单独封装。你也可以添加接口失败重连的逻辑。你也可以使用数据加密传输,例如sm4等。
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
token无感刷新
wyh666csdn的博客
01-09 2841
最近遇到个需求:前端登录后,后端返回和,当token过期时要求用旧token去获取新的token,前端需要做到无痛刷新token,即请求刷新token时要做到用户感知
无感刷新token(从后端到前端整个流程)
bdfcfff77fa的博客
01-18 866
token刷新是前端安全中必要的一部分,本文从后端到前端整个流程介绍如何实现无感刷新token。页面代码亲自实现并跑通,放心食用。如需源码,在评论区留言。!!新建 config/constant.js/* localStorage存储字段 *///短token//长token、/* HTTP请求头字段 *///存放短token//存放长token新建 config/returnCodeMap.js// 在其它客户端被登录// 重新登陆// token过期//接口请求成功。
前端如何实现token的无感刷新
xiangzhihong8的专栏
10-22 883
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token的无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
Java如何做到无感知刷新token含示例代码(值得珍藏)
01-19
Java实现感知刷新Token详解】 在Web应用中,用户身份验证通常依赖于Token机制,如JWT(JSON Web Tokens)。然而,Token具有有效期限制,过期后可能导致用户被迫重新登录,影响用户体验。为了解决这一问题,我们...
axios如何利用promise无痛刷新token实现方法
10-16
这样,用户不会感知请求的中断,实现了无痛刷新token。 总结来说,通过使用axios的响应拦截器和Promise,我们可以优雅地处理token刷新,保证用户体验的连续性。在实际开发中,还需要考虑错误处理、网络延迟以及...
Android OkHttp实现全局过期token自动刷新示例
01-20
本文将探讨如何使用OkHttp库来实现全局过期token的自动刷新,以便在用户感知的情况下完成这一过程。 首先,我们需要理解`token`和`cookie`的区别。`cookie`是服务器发送给浏览器的一小段数据,存储在用户的本地...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
这个过程应该设计为无感知的,即用户在正常使用应用时,后台自动完成Token刷新,无需用户手动操作。 总结来说,Spring Boot、Shiro、JWT和Redis的整合,可以提供一个安全、高效且用户体验良好的认证系统。通过...
前端解决刷新token,并发请求
rookieWeb的博客
08-10 4793
因为token定期过期,这时请求返回token过期,就需要拿着refreshToken请求新的token,但是因为ajax是异步请求,所以会存在多个接口重复请求token引发报错。 解决办法:请求一次刷新token,其余刷新成功后的回调请求缓存等token刷新成功后在发起请求。 我是uiapp项目,以unapp为例,其余项目同理 1.封装请求函数,你的就是你自己的封装好的请求函数,在提示token异常需要重新刷新token时执行checkStatus函数,只执行第一个刷新token请求,其余拦截,并将
VUE前端实现token的无感刷新
老电影故事的博客
08-30 9177
说实话,这个其实没啥好讲的,要说有复杂度的话,也主要是在后端。实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token请求,获取最新的token进行覆盖,让用户感受不到token已过期。
实现无感刷新token,我是这样做的
CRMEB小程序商城的博客
10-14 1820
前言 最近在做需求的时候,涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端:后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全,你可以用更好的方法。 前端:什么方法? 后端:给你刷新token接口,定时去刷新token 前端:好,让我思考一下 需求 当token过期的时候,刷新token,前端需要做到无感刷新token,即刷token时要做到用户感知,避免频繁登录。实现思路 方法一 后端返回过期时间,前端判断token过期时
关于前端实现token无感刷新(refresh_token)
weixin_69356624的博客
07-10 4368
实现token无感刷新对于前端来说是一项非常常用的技术,其本质是为了优化用户体验,当token过期时不需要用户跳回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的ajax,获取最新的token进行覆盖,让用户感受不到token已经过期,今天一个简陋的demo,给大家提供一个参考步骤: 1.先搭好axios骨架,以及请求拦截器与响应拦截器 2.再封装好ajax的接口,一个获取token的,一个需要token发送ajax的(获取用户信息等) 3
Token感知刷新
广漂程序猿DevinRock
03-13 429
感知刷新Token是指在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新用户可以无缝继续使用应用。可以幻想一下,你在一个应用中,填了很多个表单,最后提交的时候,401认证失败,这个时候你心里肯定一万个....所以为了解决这个问题,给用户更好的体验,本文介绍无感知刷新token实现。在实现过程中,会发现该实现方式大部分都是在请求拦截和相应拦截中设置的,这样带来的问题就是,耦合性高,接口重试的机制不太好。token验证的原理。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3153
感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户感知刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
VUE前端实现token的无感刷新,即refresh_token
程序猿的傻白甜
05-23 2786
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。:需要后端额外提供一个token过期时间的字段;
uniapp 实现无感刷新token
06-01
= 1.00522036 Iteration 6, loss = 0.97427636 Iteration 7, loss = 0.94511844 Iteration 8, loss = 0.91776770 Iteration 9, loss = 0.892232Uniapp 可以通过拦截请求和响应来实现无感刷新 token。具体来说,可以在请求拦截73 Iteration 10, loss = 0.86849268 Iteration 11, loss = 0.84650764 Iteration器中判断当前 token 是否过期,如果过期,则调用刷新 token接口来获取新的 token,并将新的 token 更新到请求头中。同时,在响应拦截器中判断服务器返回的状态码,如果是 token 过期的错误 12, loss = 0.82621678 Iteration 13, loss = 0.80754352 Iteration 14, loss = 0.79039852 Iteration 15, loss = 0.77469448 Iteration 16, loss = 码,则重新调用刷新 token接口来获取新的 token,并重新发送请求。这样就可以实现无感刷新0.76034297 Iteration 17, loss = 0.74725633 Iteration 18, loss = 0.735 token 的效果了。需要注意的是,刷新 token接口需要保证安全性,防止 token 被恶意获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值