token 无感刷新

简介: token 无感刷新

什么是 token 无感刷新?为什么需要 token 无感刷新?让我们想象一下有这么个场景:你登录一个系统成功后,玩了 10 分钟,发现登录失效了,又要你重新登录,然后又过 10 分钟,又失效了,又要重新登录,难不难受,那这是怎么造成的?是因为权限 token 有效时间很短造成的,不要问,为什么权限 token 过期时间这么短,因为需要实现单点登录。那什么是单点登录呢?请参考单点登录模式

在单点登录模式下,服务器在我们登录成功后发了两个 token 给我们,一个有效时间短的权限 token(有效时间 10 分钟),一个有效时间长的刷新token(有效时间一个月)。那这个刷新 token有啥用呢,当权限token过期后,我们可以拿刷新token再去换一个新的权限token。

现在,我们需要实现的是 token 的无感刷新,那什么是 token 的无感刷新呢,就是在权限token失效后,自动拿刷新token去换新的权限 token,拿到新的权限token后继续访问系统受保护资源。不需要用户做任何操作,完全无感。

1. 接口封装

在 refreshtoken.js 中封装刷新 token 接口。

为什么需要定义 promise,因为当权限 token 失效时,但这期间同时访问了很多需要权限 token 的接口,不可能每个接口都去调用刷新接口,如果已经在调用刷新接口了,那么就赋值给 promise,在结果没返回前,再次调用刷新接口,直接就返回 promise。

为什么需要定义 __isRefreshToken 呢,因为如果刷新 token 也不存在,那么在调用刷新接口时,就会陷入死循环,需要判断当前需要权限的接口是不是刷新接口。

// refreshtoken.js
import request from "./request.js";
import { getRefreshToken } from "./token.js";
 
let promise = null;
 
export const refreshToken = () => {
  if (promise) {
    return promise;
  }
  promise = new Promise(async (resolve) => {
    const resq = await request.get("/refresh_token", {
      headers: {
        Authorization: `Bearer ${getRefreshToken()}`,
      },
      __isRefreshToken: true,
    });
    resolve(resq.code === 0);
  });
  promise.finally(() => {
    promise = null;
  });
  return promise;
};
 
export const isRefreshRequest = (config) => {
  return !!config.__isRefreshToken;
};

2. 封装 axios 请求

在 request.js 中封装 axios 请求

响应拦截中,后端返回的两个 token,我们都拿着保存着。当响应报 401 时,我们需要判断是不是调用刷新接口报的 401,如果不判断,就会一直在刷新接口这陷入死循环。刷新接口调用成功后,返回新 token,拿到新 token,赋值给 header,继续之前的请求。如果调用刷新接口失败,直接重新登录去。

// request.js
import axios from "axios";
import { setToken, setRefreshToken, getToken } from "./token.js";
import { refreshToken, isRefreshRequest } from "./refreshtoken.js";
 
const service = axios.create({
  baseURL: "http://localhost:8080",
  headers: {
    Authorization: `Bearer ${getToken()}`,
  },
});
 
// 响应拦截器
service.interceptors.response.use(async (res) => {
  if (res.headers.authorization) {
    const token = res.headers.authorization.replace("Bearer ", "");
    setToken(token);
    service.default.headers.Authorization = `Bearer ${getToken()}`;
  }
  if (res.headers.refreshtoken) {
    const refreshtoken = res.headers.refreshtoken.replace("Bearer ", "");
    setRefreshToken(refreshtoken);
  }
  if (res.data.code == 401 && !isRefreshRequest(res.config)) {
    const isSuccess = await refreshToken();
    if (isSuccess) {
      res.config.headers.Authorization = `Bearer ${getToken()}`;
      const resp = await service.request(res.config);
      return resp;
    } else {
      // 到登录页
      return res.data;
    }
  }
  return res.data;
});
 
export default service;

总结:核心代码就这些,小伙伴可以根据这些代码去继续优化到自己的项目里

目录
相关文章
请问一下每次登录或者短时间内需要查看云效消息,都需要刷新一下才可以看到最新的,是可以如何设置一下然后能够及时看到吗
请问一下每次登录或者短时间内需要查看云效消息,都需要刷新一下才可以看到最新的,是可以如何设置一下然后能够及时看到吗
83 1
|
缓存 小程序 前端开发
【Uniapp】小程序携带Token请求接口+无感知登录方案2.0
【Uniapp】小程序携带Token请求接口+无感知登录方案2.0
354 0
|
JSON 安全 数据安全/隐私保护
Refresh Token的使用场景以及如何与JWT交互
在这篇文章中,我们将探索由OAuth2定义的Refresh Token的概念。我们将会明白为什么他们会这样做,以及他们如何与其他类型的Token进行比较。我们也将通过一个简单的例子来学习如何使用它们。
18092 0
|
4月前
|
存储 JSON 前端开发
SpringBoot 如何实现无感刷新Token
【8月更文挑战第30天】在Web开发中,Token(尤其是JWT)作为一种常见的认证方式,被广泛应用于身份验证和信息加密。然而,Token的有效期问题常常导致用户需要重新登录,从而影响用户体验。为了实现更好的用户体验,SpringBoot可以通过无感刷新Token的机制来解决这一问题。以下将详细介绍SpringBoot如何做到无感刷新Token。
187 2
|
4月前
|
前端开发 算法 Serverless
中后台前端开发问题之保证用户的token等信息的唯一性和不可伪造性如何解决
中后台前端开发问题之保证用户的token等信息的唯一性和不可伪造性如何解决
54 0
|
前端开发 数据库 UED
无感token实现方案
无感token实现方案
|
缓存 小程序 NoSQL
【Uniapp】小程序携带Token请求接口+无感知登录方案
【Uniapp】小程序携带Token请求接口+无感知登录方案
300 0
|
存储 消息中间件 NoSQL
如何设置token有效期【5个应用场景分析+双token实现解析】
如何设置token有效期【5个应用场景分析+双token实现解析】
|
数据采集 Serverless 数据安全/隐私保护
如何解决爬虫程序中登录时遇到的动态Token问题
如何解决爬虫程序中登录时遇到的动态Token问题
|
小程序 API
配置项目请求地址和axios以及实现token过期无痛刷新
配置项目请求地址和axios以及实现token过期无痛刷新
265 0