无感刷新 token

这篇具有很好参考价值的文章主要介绍了无感刷新 token。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

无感刷新 token,Axios,javascript,无感刷新token,前端,axios,refresh token


前景提要:
  • ts 简易封装 axios,统一 API

  • 实现在 config 中配置开关拦截器

  • axios 实现请求 loading 效果

背景

无感刷新 token 一般指的是使用 refresh token 无感刷新 access token。

基本思路

设置全局请求拦截器,从 localstorage 或其他地方获取 token 放在请求头中携带。在响应拦截器中,判断响应结果中是否有 token,有就存下来放在 localstorage 或其他地方。

一句话总结就是本地有就带,响应有就存。

实现自动刷新,就是在响应拦截之前的基础上再加一个判断,如果 access token 过期了,就携带 refresh token 去请求认证中心的接口。拿到新的 access token 后,再次对业务接口发起请求。

  • 注意别忘了要让新业务请求携带最新的 access token。

在axios拦截器中重新发起请求,就是拿到业务请求的 config,用axios实例发起请求。所以也可以说,一个请求的本质就是它的config配置对象。

src\api\http\token.ts

import { AxiosResponse, InternalAxiosRequestConfig } from "axios";
import httpRequest from "..";
import { refreshAccessToken } from "../modules/refreshToken";

export const ACCESS_TOKEN_KEY = "access_token";
export const REFRESH_TOKEN_KEY = "refresh_token";
export const UNAUTHORIZED_STATUS_CODE = 401;

// token 工具函数

/**
 * 获取token
 * @param key token的key
 * @returns {string}accessToken
 */
export function getToken(key: string) {
    return localStorage.getItem(key);
}

/**
 * 存储token到本地
 * @param key token的key
 * @param token token的值
 */
export function setToken(key: string, token: string) {
    localStorage.setItem(key, token);
}

// 拦截器

/**
 * 请求拦截器:只要本地有access token,所有请求的请求头就携带上它。(对于没有采用单点登录方案的系统,access token就是普通 token)
 * @param {InternalAxiosRequestConfig}config
 * @returns {InternalAxiosRequestConfig}config
 */
export function setAccessTokenRequestInterceptor(config: InternalAxiosRequestConfig) {
    if (config.headers) config.headers.authorization = `Bearer ${getToken("accessToken")}`;
    return config;
}

/**
 * 响应拦截器:只要服务器响应了 token,就保存下来到本地,无论是 access token 还是 refresh token。
 * 当接口因权限拒绝或者本地计算 access token 过期,则就去拿 refresh token 无感刷新 access token。
 * @param {AxiosResponse}res
 * @returns {AxiosResponse}res
 */
export async function getTokenResponseInterceptor(res: AxiosResponse) {
    // 假设服务器将token放在响应头中返回

    // 保存授权 token,也就是 access token 或者普通的 token
    if (res.headers.authorization) {
        const token = res.headers.authorization.repalce("Bearer ", "");
        setToken(ACCESS_TOKEN_KEY, token);
    }

    // 保存 refresh token
    if (res.headers.refreshtoken) {
        const refreshToken = res.headers.refreshtoken.repalce("Bearer ", "");
        setToken(REFRESH_TOKEN_KEY, refreshToken);
    }

    // 请求业务接口没有权限,说明 access token 过期,需要刷新 token
    if (res.data.code === UNAUTHORIZED_STATUS_CODE) {
        // 请求服务器获取最新access token,当前拦截器递归保存token
        const isRefreshSuccess = await refreshAccessToken();
        if (isRefreshSuccess) {
            // 刷新 access token 成功,装配新 access token 后拿到 axios 实例重新发起请求
            res.config.headers.Authorization = `Bearer ${getToken(ACCESS_TOKEN_KEY)}`;
            const response = await httpRequest.getInstance().request(res.config);
            return response;
        } else {
            // 刷新失败,refresh token 过期,跳转登录页面重新登录
           	window.location.hash = "/login";
            // window.location.href = "/login";
        }
    }

    return res;
}

src\api\modules\refreshToken.ts

import httpRequest from "..";
import { REFRESH_TOKEN_KEY, UNAUTHORIZED_STATUS_CODE, getToken } from "../http/token";

const REFRESH_TOKEN_API = "/refreshToken";

/**
 * 获取 refresh token 的接口
 * 这个接口不同于业务接口,它携带的 token 是 refresh token 而不是 access token。
 * 当请求 access token 回来后,就会启动响应拦截将 access token 保存
 * 返回一个布尔值,用于判断是否刷新成功,因为 refresh token 也会过期,导致刷新失败。
 * @returns {boolean} isRefreshSuccess 刷新 access token 是否成功。
 */
export async function refreshAccessToken() {
    const res = await httpRequest.get({
        url: REFRESH_TOKEN_API,
        headers: {
            Authorization: `Bearer ${getToken(REFRESH_TOKEN_KEY)}`
        }
    });

    // 响应状态码不为 401,则表示刷新成功
    return res.code !== UNAUTHORIZED_STATUS_CODE;
}

需解决的问题

请求进入死循环

假如 refresh token 也过期了,那么携带 refresh token 去刷新 access token时就会被拒绝,refreshAccessToken 请求失败,状态码 401。这时因为是 401,响应拦截器中就又会以为是 access token 过期,又拿着 refresh token 去刷新。至此陷入死循环了。

核心就是当前是否启动无感刷新 access token 的判断条件,需要区分是 access token 过期导致的业务接口拒绝,还是 refresh token 过期导致的授权接口拒绝。

解决办法可以是服务器接口给出过期时间,或者前端自己解析 jwt,拿到过期时间。然后通过判断 access token 过期时间来选择是否要去刷新。

假如通过接口返回 401 来判断。这时可以引入一个变量做标志,表明当前请求是否是刷新 access token 的请求,还是业务请求。
src\api\modules\refreshToken.ts

export async function refreshAccessToken() {
    const res = await httpRequest.get({
        url: REFRESH_TOKEN_API,
        headers: {
            Authorization: `Bearer ${getToken(REFRESH_TOKEN_KEY)}`,
            _isRefreshAccessTokenRequest: true // 标记当前请求为刷新 token 请求
        }
    });
    return res.code !== UNAUTHORIZED_STATUS_CODE;
}

src\api\http\token.ts

// 请求业务接口没有权限,说明 access token 过期,需要刷新 token
if (res.data.code === UNAUTHORIZED_STATUS_CODE && !res.config.headers._isRefreshAccessTokenRequest) {
    // 请求服务器获取最新access token,当前拦截器递归保存token
    const isRefreshSuccess = await refreshAccessToken();
    if (isRefreshSuccess) {
        // 刷新 access token 成功,装配新 access token 后拿到 axios 实例重新发起请求
        res.config.headers.Authorization = `Bearer ${getToken(ACCESS_TOKEN_KEY)}`;
        const response = await httpRequest.getInstance().request(res.config);
        return response;
    } else {
        // 刷新失败,refresh token 过期,跳转登录页面重新登录
        window.location.hash = "/login";
        // window.location.href = "/login";
    }
}

标记刷新 token 请求避免请求拦截覆盖 refresh token

刷新 access token 的请求也是一个请求,它携带的是 refresh token。但是之前我们设置了全局的请求拦截器。又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。
因此请求拦截器也要对刷新 token 的请求做额外的区分,过滤掉刷新请求。也可以通过请求头的标记实现。

export function setAccessTokenRequestInterceptor(config: InternalAxiosRequestConfig) {
    if (config.headers && !config.headers._isRefreshAccessTokenRequest) {
        config.headers.authorization = `Bearer ${getToken(ACCESS_TOKEN_KEY)}`;
    }
    return config;
}

并发刷新 token

如果当前有很多业务请求,然后 access token 刚好过期了。那这些业务请求的响应拦截器中都会拿着 refresh token 去请求刷新接口刷新 access token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。

解决这个问题的核心,无非就是确定上一个刷新 token 的请求是否结束,它没结束后续的刷新请求就得等着。这种观测异步处理的状态,promise 干的就是这个。

定义一个全局的变量,用这个全局的变量保存刷新 token 的请求,也就是保存一个 promise。
变量初始是空的,因为没有刷新请求。当有刷新请求发起,就生成一个 promise 观测该请求,并将该 promise 保存在全局变量中。此时后续想要再次发起刷新请求,就直接返回这个“全局的请求”(promise)给它们,避免了发起冗余请求。并且这样当第一个刷新请求得到结果,后续所有请求就都拿到了结果,因为都是同一个 promise。
promise 有结果后,无论刷新成功与否,都代表了本轮并发刷新 token 请求的结束,需将全局变量重置为 null,以准备下一次并发刷新请求。

import httpRequest from "..";
import { REFRESH_TOKEN_KEY, UNAUTHORIZED_STATUS_CODE, getToken } from "../http/token";

const REFRESH_TOKEN_API = "/refreshtoken";

let promise: Promise<any> | null = null;

/**
 * 获取 refresh token 的接口
 * 这个接口不同于业务接口,它携带的 token 是 refresh token 而不是 access token。
 * 当请求 access token 回来后,就会启动响应拦截将 access token 保存
 * 返回一个 Promise 布尔值,用于判断是否刷新成功,因为 refresh token 也会过期,导致刷新失败。
 * @returns {Promise<boolean>} isRefreshSuccess 刷新 access token 是否成功。
 */
export function refreshAccessToken() {
    // 前面已经发送了刷新请求,promise 有值,此时后续请求全都返回最开始的 promise
    if (promise) {
        return promise;
    }
    promise = new Promise((resolve, rejects) => {
        httpRequest
            .get({
                url: REFRESH_TOKEN_API,
                headers: {
                    Authorization: `Bearer ${getToken(REFRESH_TOKEN_KEY)}`,
                    _isRefreshAccessTokenRequest: true
                }
            })
            .then(res => {
                resolve(res.code !== UNAUTHORIZED_STATUS_CODE);
            })
            .catch(() => rejects(false))
            .finally(() => {
                promise = null; // 本次并发刷新请求结束,重置变量为 null
            });
    });

    return promise;
}

完整代码

src\api\http\token.ts

import { AxiosResponse, InternalAxiosRequestConfig } from "axios";
import httpRequest from "..";
import { refreshAccessToken } from "../modules/refreshToken";

export const ACCESS_TOKEN_KEY = "access_token";
export const REFRESH_TOKEN_KEY = "refresh_token";
export const UNAUTHORIZED_STATUS_CODE = 401;

// token 工具函数

/**
 * 获取token
 * @param key token的key
 * @returns {string}accessToken
 */
export function getToken(key: string) {
    return localStorage.getItem(key);
}

/**
 * 存储token到本地
 * @param key token的key
 * @param token token的值
 */
export function setToken(key: string, token: string) {
    localStorage.setItem(key, token);
}

// 拦截器

/**
 * 请求拦截器:只要本地有access token,所有请求的请求头就携带上它。(对于没有采用单点登录方案的系统,access token就是普通 token)
 * @param {InternalAxiosRequestConfig}config
 * @returns {InternalAxiosRequestConfig}config
 */
export function setAccessTokenRequestInterceptor(config: InternalAxiosRequestConfig) {
    if (config.headers && !config.headers._isRefreshAccessTokenRequest) {
        config.headers.authorization = `Bearer ${getToken(ACCESS_TOKEN_KEY)}`;
    }
    return config;
}

/**
 * 响应拦截器:只要服务器响应了 token,就保存下来到本地,无论是 access token 还是 refresh token。
 * 当接口因权限拒绝或者本地计算 access token 过期,则就去拿 refresh token 无感刷新 access token。
 * @param {AxiosResponse}res
 * @returns {AxiosResponse}res
 */
export async function getTokenResponseInterceptor(res: AxiosResponse) {
    // 假设服务器将token放在响应体中返回

    // 保存授权 token,也就是 access token 或者普通的 token
    if (res.data.data?.accessToken) {
        const token = res.data.data.accessToken.replace("Bearer ", "");
        setToken(ACCESS_TOKEN_KEY, token);
    }

    // 保存 refresh token
    if (res.data.data?.refreshToken) {
        const refreshToken = res.data.data.refreshToken.replace("Bearer ", "");
        setToken(REFRESH_TOKEN_KEY, refreshToken);
    }

    // 请求业务接口没有权限,说明 access token 过期,需要刷新 token
    if (res.data.code === UNAUTHORIZED_STATUS_CODE && !res.config.headers._isRefreshAccessTokenRequest) {
        // 请求服务器获取最新access token,当前拦截器递归保存token
        const isRefreshSuccess = await refreshAccessToken();
        if (isRefreshSuccess) {
            // 刷新 access token 成功,装配新 access token 后拿到 axios 实例重新发起请求
            res.config.headers.Authorization = `Bearer ${getToken(ACCESS_TOKEN_KEY)}`;
            const response = await httpRequest.getInstance().request(res.config);
            return response;
        } else {
            // 刷新失败,refresh token 过期,跳转登录页面重新登录
            window.location.hash = "/login";
            // window.location.href = "/login";
        }
    }

    return res;
}

src\api\modules\refreshToken.ts

import httpRequest from "..";
import { REFRESH_TOKEN_KEY, UNAUTHORIZED_STATUS_CODE, getToken } from "../http/token";

const REFRESH_TOKEN_API = "/refreshtoken";

let promise: Promise<any> | null = null;

/**
 * 获取 refresh token 的接口
 * 这个接口不同于业务接口,它携带的 token 是 refresh token 而不是 access token。
 * 当请求 access token 回来后,就会启动响应拦截将 access token 保存
 * 返回一个 Promise 布尔值,用于判断是否刷新成功,因为 refresh token 也会过期,导致刷新失败。
 * @returns {Promise<boolean>} isRefreshSuccess 刷新 access token 是否成功。
 */
export function refreshAccessToken() {
    // 前面已经发送了刷新请求,promise 有值,此时后续请求全都返回最开始的 promise
    if (promise) {
        return promise;
    }
    promise = new Promise((resolve, rejects) => {
        httpRequest
            .get({
                url: REFRESH_TOKEN_API,
                headers: {
                    Authorization: `Bearer ${getToken(REFRESH_TOKEN_KEY)}`,
                    _isRefreshAccessTokenRequest: true
                }
            })
            .then(res => {
                resolve(res.code !== UNAUTHORIZED_STATUS_CODE);
            })
            .catch(() => rejects(false))
            .finally(() => {
                promise = null; // 本次并发刷新请求结束,重置变量为 null
            });
    });

    return promise;
}

测试代码

<template>
  <div>
    <h2>测试无感刷新 token</h2>
    <el-button type="primary" round @click="handleClickLogin">登录</el-button>
    <el-button type="primary" round @click="handleClickGetProtectData">请求受保护资源</el-button>
  </div>
</template>

<script setup lang="ts">
  import { login } from "@/api/modules/login";
  import { fetchUsersList } from "@/api/modules/user";

  const handleClickLogin = () => {
    login({ username: "admin" }).then(res => {
      console.log(res);
    });
  };

  const handleClickGetProtectData = async () => {
    const res = await fetchUsersList();
    console.log("res", res);
  };
</script>

<style scoped></style>

注意:拦截器注册顺序

注册无感刷新的响应拦截器要在防抖拦截器的后面。
如这样:

// debounceRequest
httpRequest.getInstance().interceptors.request.use(compareUrl);
httpRequest.getInstance().interceptors.response.use(filterFulfilledUrl);

// token
httpRequest.getInstance().interceptors.request.use(setAccessTokenRequestInterceptor);
httpRequest.getInstance().interceptors.response.use(getTokenResponseInterceptor);

请求防抖是通过比较请求 url 来实现的。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。当响应拦截器启动,说明请求完毕,就从数组中清除此url。

此时问题就来了,假如 token 的响应拦截定义在防抖响应拦截器的前面。(axios响应拦截,越晚定义越晚执行)
当 access token 过期,token 响应拦截器中会去刷新 token,并对业务接口重新发起请求。注意,此时仍然处于上一次被拒绝请求的拦截器中。那后续的防抖响应拦截器肯定还没执行,也就是还没有清除数组中被拒绝请求的url。此时又重新发送了请求,防抖的请求拦截中就会发挥防抖功能抛出错误“请求频繁"。
因此防抖响应拦截器和无感刷新 token 的响应拦截器有注册顺序,token 拦截要后注册。

另一种方案:事件驱动刷新

这种方式以某个页面事件触发刷新,而不是在拦截器中判断所有请求的结果。

用户登陆返回accesToken,refreshToken 还有accesToken有效时间戳。
每次加载到home页面,直接判断accesToken是否过期,过期了直接用refreshToken请求刷新accesToken接口,返回新的accesToken,新的refreshToken,accesToken的有效时间戳。

accesToken的有效时间戳并不是accesToken真正失效时间,一般会比真的失效时间点会提前的。

至于其他request和这套机制完全独立的。只是每次请求带上accessToken罢了。不用考虑accesToken过期啥的。文章来源地址https://www.toymoban.com/news/detail-740862.html

到了这里,关于无感刷新 token的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • VUE前端实现token的无感刷新

    说实话,这个其实没啥好讲的,要说有复杂度的话,也主要是在后端。 实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的tok

    2024年02月05日
    浏览(51)
  • 微信小程序自动刷新token,无感刷新token

            小程序登录开发通常是调用wx.login获取code,然后发送到后台,后台请求微信拿到用户openId,然后根据openId查询用户,有就走登录流程然后返回token,没有则创建用户之后走登录流程然后返回token,也就是都需要返回一个有时效性的token给小程序端,来保持登录状态,

    2024年02月12日
    浏览(39)
  • 无感刷新 token

    前景提要: ts 简易封装 axios,统一 API 实现在 config 中配置开关拦截器 axios 实现请求 loading 效果 无感刷新 token 一般指的是使用 refresh token 无感刷新 access token。 设置全局请求拦截器,从 localstorage 或其他地方获取 token 放在请求头中携带。在响应拦截器中,判断响应结果中是否

    2024年02月06日
    浏览(42)
  • Vue 无感刷新token

    关于无感刷新的理解:  实现token无感刷新对于前端来说是一项非常常用的技术,其本质是为了优化用户体验,当token过期时不需要用户跳回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的token进行覆盖,让用户感受不到token已经过期 刷新token的一些方案

    2024年02月10日
    浏览(42)
  • 【微信小程序】 token 无感刷新

    ⌈本文是作者本人学习过程中的笔记总结,若文中有不正确或需要补充的地方,欢迎在评论区中留言⌋🤖 小程序端登录时,除了返回用户信息,还需返回两个 token 信息 accessToken:用于验证用户身份 refreshToken:用于刷新 accessToken 当请求返回状态码为401(即 accessToken 过期)时

    2024年01月21日
    浏览(41)
  • 前端网络请求之JavaScript XHR、Fetch、Axios

    AJAX:一种在无需重新加载整个网页的情况下,能够更新部分网页的技术。在后台与服务器进行少量数据交换,Ajax 可以使网页实现异步更新。在不重新加载整个网页的情况下,对网页的某部分进行更新 Fetch:基于 promise 设计的。Fetch 的代码结构比起 ajax 简单多。fetch 不是 aj

    2024年01月23日
    浏览(50)
  • 为什么使用双token实现无感刷新用户认证?

    认证机制 :对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。 不足之处: 安全性较低(因为只有一个token在客户端和服务器端之间进行传递,一目Acess Token被截获或者被泄露,攻击者就会在有效时间内完成模拟用户行为,

    2024年01月18日
    浏览(49)
  • 记录-使用双token实现无感刷新,前后端详细代码

    近期写的一个项目使用双token实现无感刷新。最后做了一些总结,本文详细介绍了实现流程,前后端详细代码。前端使用了Vue3+Vite,主要是axios封装,服务端使用了koa2做了一个简单的服务器模拟。 jwt:JSON Web Token。是一种认证协议,一般用来校验请求的身份信息和身份权限。

    2023年04月24日
    浏览(48)
  • uni-app 微信小程序刷新token,无感登录

    描述:         后端token每5分钟刷新一次,需要给注册过的用户无感登录,当接口403或401后,刷新token并且重新发起所有403或401请求 我的实现  参照: 参照链接uniapp+uview(luch-request)无痛刷新token - 掘金 (juejin.cn)

    2024年02月15日
    浏览(62)
  • axios拦截器:每次请求自动带上 token

    Step 1:创建Axios实例并添加拦截器 在你的Vue项目中,一般我们会先导入axios,然后创建一个axios实例。这样做是为了方便统一管理和配置。 上面的代码做了什么呢? 1. 我们创建了一个axios实例service,相当于有了一个专属邮差。 2. 给这个邮差设置了规则:每次出门送信前,先检

    2024年04月09日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包