前端无痛刷新Token

最新推荐文章于 2025-02-10 16:16:54 发布
原创 最新推荐文章于 2025-02-10 16:16:54 发布 · 765 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript

本文介绍了前端实现无痛刷新Token的三种方案,并重点分析了最佳实践——在请求响应拦截器中自动刷新Token的实现方式,包括创建请求队列、设置刷新标志及详细流程。通过这种方式,可以避免用户在提交复杂表单时因Token过期导致的不佳体验。

前言

记得上年大三期间,受同学邀请一起重写学校的一个实验系统,当时真的是感觉啥也不会(现在会的也不多,哈哈)。在我们几个进行讨论的时候就说了这个需求。这个系统主要功能是学生们进行提交一些表单操作,所以这个需求挺关键的。但当时因自身技术不行,就略过了这个功能。今年也是刚步入实习阶段,在阅读公司以前项目的时候就发现了无感刷新Token的封装痕迹,但只是一些雏形,就是函数封装了一半,不知道什么原因最后也没有使用。
决定使用自己仅有的技术重新梳理一下
无痛刷新Token的需求场景很多,例如:用户正在提交一个复杂的表单,突然拉肚子取了个厕所,回来点击提交表单发现Token失效,强制返回了登录页。我要是当时的用户,我可能会pen死开发的,哈哈,这种用户体验感很差。所以说前端实现无痛刷新Token是非常有必要的。

一、方案

  • 方案一
    后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。
    缺点:需要后端额外提供一个token过期时间的字段;使用了本地时间判断,若本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败。
  • 方案二
    写个定时器,定时刷新token接口。
    缺点:浪费资源,消耗性能,不建议采用。
  • 方案三
    在请求响应拦截器中拦截,判断token 返回过期后,调用刷新token接口。

综合上面的三个方法,最好的是第三个,因为它不需要占用额外的资源。
接下来,我们就分析一下第三种的实现方式

二、分析

1.创建一个数组队列pendingQueue存放需要重新发起的请求
2. 创建一个flag ifRefreshPending来判断是否刷新中
3. 在请求拦截器中将请求添加到pendingQueue
4. 在响应拦截器中判断Token是否过期:
    1.Token没有过期,将pendingQueue中的本次请求移除,正常返回响应数据
    2.Token过期,刷新TokenifRefreshPending判断是否正在刷新中,防止重复刷新TokenToken刷新
成功,将pendingQueue存放的请求重新请求一次,然后清空pendingQueue

三、简易封装

// 存储pending状态下的请求
const pendingQueue = new Map()
// 是否正在刷新的标志
let ifRefreshPending = false
// 刷新Token的接口函数
const refreshToken = () => {
    return new Promise((resolve, reject) => {
        // 通过接口获取新的token
		// ...	
        resolve(token)
    })
}

// 添加请求
const addPending = config => {
    const {url, method, data} = config
    if(!pendingQueue.has(url)){
        // 将请求添加到task
        pendingQueue.set(url,{
            url,
            method,
            data
        })
    }
}

// 移除请求
const removePending = config =>{
    pendingQueue.delete(config.url)
}

axios.interceptors.request.use(config =>{
	removePending(config)  // 再添加之前移除之前的本次请求
    addPending(config)
    // 添加Token
    config.headers.Authorization = localStorage.getItem('token')
    return config
})
  • 假设和后端约定Token过期返回状态码 code = 0
axios.interceptors.response.use(response =>{
    if(response.code === 0){
        // 说明整在刷新Token
        ifRefreshPending = true
        if(!ifRefreshPending){
            // TODO: 刷新Token, 将pendingTask中存储的请求重新执行
            return refreshToken().then(res => {
                localStorage.setItem('token', res.token)
                // 将pendingQueue中存储的请求重新执行
                pendingQueue.forEach(item => {
					// TODO 重新发起请求	
				})
				// 清空pendingQueue
				pendingQueue.clear()
            }).catch(err=>{
                // 刷新Token失败就跳到登录页
                router.push('/login')
                return Promise.reject(err)
            }).finally(() => {
                ifRefreshPending = false
            })
        }
    }
    // 正常响应就移除本次请求
    removePending(response.config)
    return response && response.data
})

总结

技术不精,谅!!!

无痛刷新——获取登录时账户信息进行赋值
Karry_LiQin的博客
02-08 201
实现起来也没多大差别,核心原理都一样: 判断Token是否过期,没过期则正常处理,过期则发起刷新Token的请求,拿到新的Token保存,重新发送Token过期这段时间内发起的请求。
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
前端无痛刷新token
龙骑士-黎明的博客
06-06 486
前端无痛刷新token
token无痛刷新
Kaite_han的博客
04-25 1973
1.技术背景 在追求网络安全的大环境下,前端在处理网络请求的安全性控制有了更高的需求,回归问题的本质,处理token过期问题。 1.1 token过期需要解决的几个痛点 i. 怎么在响应式拦截器中重新发起请求 ii. 怎么处理token过期后大量请求并发 iii. token过期后在响应拦截器中怎么重新获取token 2.技术应用 在解决上面提到的三个痛点之前,我们需要着重了解两个知识点: axios拦截器 promise的三种状态success(resolve) fail(reject) pend
Web前端无痛刷新token
m0_72659914的博客
02-06 279
小白必备知识点之无痛刷新
前端实现无感刷新token
qq_44410862的博客
02-10 383
对于需要前端实现无痛刷新Token,无非就两种:请求前判断Token是否过期过期刷新请求后根据返回状态判断是否过期过期刷新
axios如何利用promise无痛刷新token的实现方法
10-16
对于“无痛刷新token”的需求,主要是为了在用户登录后,确保其在使用应用期间始终拥有有效的身份验证标识(token)。当token过期时,前端需要自动且透明地获取新token,而不打断用户的正常操作。这通常涉及到在请求...
uniapp使用uview(luch-request),无痛刷新token
m0_64609098的博客
10-05 2851
uniapp使用uview(luch-request),无痛刷新token
在vue前端开发中基于refreshToken和axios拦截器实现token无感刷新
在这里,我乐于倾囊相授,分享我的技术心得、项目实战经验、技术技巧。希望能够惠及更多的开发者,助力大家在技术的海洋中扬帆远航。
03-11 5958
RefreshToken 方法是现代 Web 应用中一种常见的身份验证机制,尤其在需要长时间保持用户登录状态的场景下具有重要意义。RefreshToken 方法的主要作用是在用户登录后,服务器生成一个 RefreshToken 并将其返回给客户端。客户端在之后的每次请求中都需要携带这个 RefreshToken,以便服务器能够验证用户身份并返回用户所需的数据。使用场景包括但不限于:用户在应用中的长时间操作、用户在多个设备上使用应用、用户需要跨域访问应用等。
前端无痛刷新的方案
qq_45432996的博客
04-01 458
无痛刷新token
前端如何实现token无感刷新
xiangzhihong8的专栏
10-22 1256
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
前后端分离中的无痛刷新token机制
weixin_34237596的博客
12-08 8460
今天我们来说一说前后端分离中的无痛刷新token机制,在手机app中应该经常用到,大家都知道在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间,没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的, 那么既然有刷新时间,问题就来了 前后端交互的过程中token如何存储? token过期...
小程序无痛刷新token
code
07-26 894
// 封装一个http 方法 let temp_request = [], is_freshing = false; /** * @param {string} url * @param {string} method * @param {Object} data * @param {Boolean} loading */ const http = function(url, method, data, loading) { let params_ = arguments ...
多个请求同时发起情况下的token无痛刷新
qq_45324420的博客
05-13 1261
token无痛刷新token更新后收到401响应的请求重试
前端无痛刷新(无感刷新)
weixin_67756017的博客
04-01 1030
用户在做一些操作时,可能由于token过期而导致用户需要重新登录才能进行后面的操作。这是为了接口数据的安全考虑,后端会对token设置一个过期时长,而token过期的话用户就需要重新的登录才能操作特殊的操作,会对用户不太友好。这时就需要使用无痛(无感)刷新了。在响应拦截器中根据过期token调用登录刷新token值。
前端实现无痛刷新
qq_43575827的博客
12-22 724
refresh_token实现无痛刷新 import axios from 'axios' import qs from "qs"; import Vue from 'vue' import router from './router' import store from '@/store' import { config } from 'shelljs'; const baseURL = process.env.BASE_API const http = axios.create({ baseURL,
前端无感刷新token
最新发布
07-23
前端实现无感刷新 Token 的机制,主要目的是在用户无感知的情况下,自动完成 Token 的更新,从而避免因 Token 过期而中断用户的操作,同时提升系统安全性与用户体验。以下是实现无感刷新 Token 的主要方法: ### 请求拦截与响应拦截机制 前端通常通过封装 HTTP 请求库(如 Axios 或 Fetch)来实现请求和响应的拦截。在请求发出前,自动注入当前有效的 Token;在接收到响应后,若发现 Token 失效(如返回 401 未授权状态),则触发刷新 Token 的流程[^2]。 ```javascript // 示例:使用 Axios 实现请求与响应拦截 const apiClient = axios.create({ baseURL: 'https://api.example.com', }); let isRefreshing = false; let failedQueue = []; apiClient.interceptors.request.use(config => { const token = localStorage.getItem('token'); if (token) { config.headers['Authorization'] = `Bearer ${token}`; } return config; }); apiClient.interceptors.response.use( response => response, async error => { const originalRequest = error.config; if (error.response.status === 401 && !originalRequest._retry) { if (isRefreshing) { return new Promise((resolve, reject) => { failedQueue.push({ resolve, reject }); }).then(token => { originalRequest.headers['Authorization'] = `Bearer ${token}`; return axios(originalRequest); }).catch(err => Promise.reject(err)); } originalRequest._retry = true; isRefreshing = true; try { const refreshToken = localStorage.getItem('refreshToken'); const response = await axios.post('/auth/refresh-token', { refreshToken }); const { token } = response.data; localStorage.setItem('token', token); processQueue(null, token); originalRequest.headers['Authorization'] = `Bearer ${token}`; return axios(originalRequest); } catch (err) { processQueue(err, null); return Promise.reject(err); } finally { isRefreshing = false; } } return Promise.reject(error); } ); function processQueue(error, token) { failedQueue.forEach(prom => { if (error) { prom.reject(error); } else { prom.resolve(token); } }); failedQueue = []; } ``` ### 利用 Refresh Token 机制 为了实现无感刷新,通常采用双 Token 机制:`Access Token` 和 `Refresh Token`。Access Token 用于日常请求,生命周期较短;Refresh Token 用于获取新的 Access Token,生命周期较长但应受到频率限制以增强安全性[^3]。 - **Access Token**:用于每次请求的鉴权,有效期较短(如 15 分钟)。 - **Refresh Token**:用于在 Access Token 过期时获取新的 Access Token,有效期较长,但应设置使用频率限制(如每小时最多使用一次)。 ### 安全性增强措施 - **非对称加密签名**:使用 RSA 等非对称加密算法对 JWT 签名,防止 Token 被篡改[^3]。 - **限制 Refresh Token 使用频率**:避免被恶意高频使用,例如限制为每小时最多刷新一次。 - **存储安全**:将 Token 存储于 `HttpOnly` 的 Cookie 中,或使用 `localStorage` 时结合加密手段。 ### 批量请求处理机制 在多个请求同时遇到 Token 失效的情况下,应避免多次调用刷新 Token 接口。可以通过维护一个“失败请求队列”,在刷新 Token 成功后统一重试这些请求,从而减少服务器压力并提升用户体验[^3]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值