token 过期的处理方案有哪些?

最新推荐文章于 2025-08-30 17:46:43 发布
原创 最新推荐文章于 2025-08-30 17:46:43 发布 · 2.5w 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #服务器 #前端

文章介绍了三种处理访问令牌过期的方法:使用刷新令牌以延长会话有效期,滑动窗口更新访问令牌过期时间,以及要求用户重新登录。重点讨论了刷新令牌的机制,包括其与访问令牌的区别,如何生成和验证,并强调了刷新令牌的安全管理重要性。

1、刷新令牌(Refresh Token)

        在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。

        访问令牌的有效期比较短,刷新令牌的有效期比较长。

        当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。如果刷新令牌也过期,则跳转回登录界面。

        这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。

2、滑动窗口

        用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。

        这种方式的优点是用户只要频繁访问,就不需要登录,但可能会增加服务器负担。

3、重新登录

        当访问令牌过期时,跳转回登录界面,让用户重新登录。这是最简单的一种方式,但可能会影响用户体验。

以下是使用刷新令牌的示例:

const jwt = require('jsonwebtoken');
const secret = 'your-secret-key';
const refreshSecret = 'your-refresh-secret-key';

// 用户登录
app.post('/login', (req, res) => {
    const { username, password } = req.body;
    // 验证用户名和密码
    const user = authenticate(username, password);
    if (user) {
        // 创建 JWT
        const token = jwt.sign({ id: user.id }, secret, { expiresIn: '1h' });
        const refreshToken = jwt.sign({ id: user.id }, refreshSecret, { expiresIn: '7d' });
        // 将 JWT 和刷新令牌发送给用户
        res.json({ token, refreshToken });
    } else {
        res.status(401).send('Invalid credentials');
    }
});

// 刷新令牌
app.post('/refresh', (req, res) => {
    const { refreshToken } = req.body;
    // 验证刷新令牌
    jwt.verify(refreshToken, refreshSecret, (err, decoded) => {
        if (err) {
            res.status(401).send('Invalid refresh token');
        } else {
            // 创建新的 JWT
            const newToken = jwt.sign({ id: decoded.id }, secret, { expiresIn: '1h' });
            res.json({ token: newToken });
        }
    });
});

前端Token管理(获取、过期处理、异常处理及优化)_前端登录及登录过期
2401_85013615的博客
05-15 2392
/ 如果这正在刷新,返回一个 Promise ,并向刷新token成功后执行队列push 函数.// 判断access_token 是否过期且接口是否需要token。// 在请求的header中设置token。// 通过参数传 登录成功后的跳转地址。//如果获取token失败 抛出异常。// 执行获取token后的任务队列。// 刷新token后的任务队列。// 是否正在执行刷新token。// 判断是否有刷新token。//刷新token锁为true。// 登录成功后进行路由跳转。
【微信小程序】 token 无感刷新
Cipher_Y的博客
11-09 2978
⌈本文是作者本人学习过程中的笔记总结,若文中有不正确或需要补充的地方,欢迎在评论区中留言⌋🤖。
token系统讲解及过期处理
欧阳的技术博客
07-25 1万+
token详细讲解,是什么,用来做什么?如何解决token过期的问题?最好的方案分享
常见的几种token过期后的续期方案分别是什么?
m0_71746299的博客
08-30 825
本文探讨了前后端分离模式下Token续期的五种方案:1)粗暴型跳转登录页;2)前端请求刷新Token;3)服务端每次请求刷新Token;4)Redis记录过期时间;5)双Token机制。重点推荐双Token机制,通过设置长短两个Token区分活跃用户,实现优雅续期。文章最后附带AI大模型学习资料推广。
(已解决)access_token过期,但已失效的问题{errcode:40001}-java-微信
热门推荐
qq_30542447的博客
12-25 5万+
做微信开发偶尔会有好多用户的信息获取不到,提示:{"errcode":40001,"errmsg":"invalid credential, access_token is invalid or not latest hint: [C7NhMA0380vr31!]"},意思是access_token已经失效,但access_token的有效期是7200S也就是两个小时,但我的token失效的时
融云干货丨如何解决 Token 过期问题?
融云即时通讯
10-10 3061
Token 过期时,可以使用 Refresh Token 去换取新的 Token,这样可以避免用户频繁登录。通常情况下,使用 Refresh Token 是一种比较理想的解决方案,因为它可以减少服务器请求次数,并且可以让用户无感知地自动刷新 Token。:在客户端连接时,如果检测到 Token 即将过期,可以自动通过服务端 API 请求新的 Token,并更新当前使用的 Token。:如果需要,可以在融云控制台使用“作废 Token”功能,强制 Token 失效,并要求用户重新登录。
关于 Token 过期问题的两种解决方案
m0_65812066的博客
01-06 3万+
手动更新token。拿到最新的token值后再重新发起刚刚因token过期的请求。2.refresh_token也有过期的时候,这时只能强行让用户自己重新登入了。手动更新token。拿到最新的token值后再跳回之前浏览的页面。时候,我们自己手动添加请求头为refresh_token。注意:1. 在请求响应器中做判断在非。请求头配置token,而。
Android token过期刷新处理的方法示例
08-26
Android Token 过期刷新处理可以通过两种解决方案来实现:第一种解决方案是通过 OkHttp 提供的 Authenticator 接口来实现 Token 的刷新,第二种解决方案是根据与后端协商好的返回码处理刷新 Token 步骤。两种解决...
关于 Token 过期问题的两种解决方案_token过期
2401_89323925的博客
01-15 1940
/ 因为500的情况有很多种,refresh_token失效也是其中一种情况,所有再加上error.config.url === '/v1_0/authorizations’条件,确保是refresh_token失效情况。console.log(router.currentRoute.fullPath)// 当前路由的完整路径(#后面的)//清空当前vuex保存的token(我们这的vuex和本地已经建立了关系,相当于也清空了本地token)// return到await的地方,将未完成的请求再次发起,
请求时token过期自动刷新token操作
10-14
2. **处理Token过期**: 当`token`过期时,有两种常见的处理方式: - **重新登录**:用户被重定向到登录页面,输入凭证获取新`token`。 - **自动刷新**:在检测到`token`过期时,客户端自动发起刷新`token`的请求...
vue实际运用六:处理token过期
GTbond的博客
12-24 1万+
vue实际运用六:处理token过期 1. 后端为了安全,token一般存在有效时间,当token过期,所有请求失效 解决方案: 1)在请求发起前拦截每个请求,判断token的有效时间是否已经过期,若已过期,则将请求挂起,先刷新token后再继续请求。 优点: 在请求前拦截,能节省请求,省流量 缺点: 需要后端额外提供一个token过期时间的字段;使用了本地时间判断,若本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败 使用方法:axios.interceptors.request.use() 这
Vue 拦截器对token过期处理方法
11-27
最近在做的一个项目,需要每个http请求下 都要添加token,这样无疑是增加了工作量。而vue 拦截器interceptors正好可以解决我们的需求。 Vue.http.interceptors.push(function (request, next) {//拦截器设置请求token // sessionStorage.getItem("tokenUrl"); request.headers.set('token', sessionStorage.getItem("tokenVal")); if (request.url.indexOf(url) === -1) { reques
饿了么零售开放平台查看商户token过期怎么报错误的?
最新发布
11-22
我们正在讨论饿了么零售开放平台中商户token过期时的报错情况。 根据常见的API设计,当token过期时,通常会返回特定的错误码和错误信息。 在饿了么开放平台的文档中,我们可以找到关于token过期的具体错误响应。 ...
Token过期怎么办?6年老前端教你自动续期的骚操作!
欢迎来到我的前端博客!这里汇集了关于前端开发的最新技术、实用工具和经验分享。我将为你提供详细的教程、代码示例和实战案例,帮助你掌握Web开发的核心概念和技能。不论你是初学者还是有经验的开发者,这个博客都适合你。
07-24 1353
Token斗智斗勇了不知道多少回。最烦的就是用户正填着表单呢,突然跳登录页——Token过期了!今天就跟大家聊聊如何优雅处理Token过期,甚至让它自动续期,让用户无感知!
token过期处理
lslsllsl的博客
09-14 3299
问题:token超过30分钟后过期,但是用户一直操作30分钟后才触发Api,影响用户使用感 解决:25分钟生成新token(更改页面时触发Api) vue: router.beforeEach((to, from, next) => { if (to.path === "/block") { next(); } else if (!brower.mediaDevice()) { next("/block"); } else { if (sessionStorage.g
详解token过期含义及解决方 token过期是否需要重新登录
weixin_64051447的博客
05-25 1万+
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
token 过期解决
qq_34867424的博客
10-24 1万+
vue如何在token过期之后跳转到登录页面,且不影响其他无需携带token的接口数据访问 事情是这样的,最近做了一个类似于商城的项目。本来测试是没有问题的,后来过了大概三四天的时间没有在浏览器中打开过,再打开以后,在未登录情况下打开商城首页报了一大堆的错误。 出现问题的原因 默认情况下商城首页,无需登录即可打开,也就是说访问后台接口不需要携带token。但是用户在上一次登录系统访问页面后,没有...
token 过期刷新令牌_token过期怎么办
weixin_29109553的博客
12-24 1万+
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。token过期的解决方法是:token过期代表证书等过期的意思。需要重新获取code,然后得到access_token,即要重新调用授权界面,需要用refreshtoken刷新accesstoken,如果刷新取到了新的accesstoken、refreshtoken、expirein,需要用这些新的去替换掉关联表中的数据,建议...
今天和大家分享一下 token 失效的处理方式
徐飞的博客
03-16 2万+
面试官:说说token失效的处理方式
如何处理Token过期自动刷新?
06-21
<think>我们正在处理JWTToken过期自动刷新的问题。根据引用内容,我们可以总结出以下关键点:1.**JWT的exp字段**:表示Token过期时间(引用[1])。2.**双Token机制**:使用AccessToken和RefreshToken(引用[2])。3.**自动刷新策略**:在检测到Token过期时,使用RefreshToken获取新的AccessToken(引用[3]和[4])。###解决方案Token过期自动刷新####1.双Token机制-**AccessToken**:用于业务请求,有效期较短(如2小时)。-**RefreshToken**:用于刷新AccessToken,有效期较长(如7天),存储在安全的地方(如HttpOnlyCookie)。####2.刷新流程当AccessToken过期时:1.客户端使用RefreshToken请求新的AccessToken(通过POST接口)。2.服务端验证RefreshToken的有效性:-有效:返回新的AccessToken(和可选的新的RefreshToken)。-无效:要求用户重新登录。####3.防止并发刷新当多个请求同时发现Token过期时,应避免多次刷新。解决方案(引用[3]):-设置一个刷新状态标记(`isRefreshing`)和一个存储待处理请求的队列(Promise队列)。-第一个发现过期的请求负责刷新Token,其他请求加入队列等待刷新完成。###代码实现示例####前端JavaScript)实现```javascriptletisRefreshing=false;//是否正在刷新TokenletrefreshSubscribers=[];//等待刷新的请求队列//添加请求到队列functionsubscribeTokenRefresh(cb){refreshSubscribers.push(cb);}//刷新完成后执行队列中的请求functiononRefreshed(token){refreshSubscribers.map(cb=>cb(token));refreshSubscribers=[];}//刷新Token的函数asyncfunctionrefreshToken(){constrefreshToken=localStorage.getItem('refresh_token');constresponse=awaitfetch('/auth/refresh',{method:'POST',headers:{'Content-Type':'application/json'},body:JSON.stringify({refresh_token:refreshToken})});constdata=awaitresponse.json();localStorage.setItem('access_token',data.access_token);returndata.access_token;}//封装API请求asyncfunctionapiRequest(url,options){letaccessToken=localStorage.getItem('access_token');if(!accessToken)thrownewError('未登录');//检查Token是否过期(需要解析JWT的exp字段)consttokenExpired=isTokenExpired(accessToken);//实现此函数if(tokenExpired){if(!isRefreshing){isRefreshing=true;try{constnewToken=awaitrefreshToken();isRefreshing=false;onRefreshed(newToken);}catch(error){isRefreshing=false;throwerror;}}//将当前请求加入队列,等待刷新完成后重试returnnewPromise((resolve)=>{subscribeTokenRefresh((token)=>{//使用新Token重试原请求options.headers.Authorization=`Bearer${token}`;resolve(fetch(url,options));});});}else{//Token过期,正常请求options.headers={...options.headers,Authorization:`Bearer${accessToken}`};returnfetch(url,options);}}//检查Token是否过期functionisTokenExpired(token){constpayload=JSON.parse(atob(token.split('.')[1]));constexp=payload.exp*1000;//转为毫秒returnDate.now()>exp;}```####后端(Python)刷新接口示例```pythonfromflaskimportrequest,jsonifyimportjwtimportdatetime@app.route('/auth/refresh',methods=['POST'])defrefresh_token():refresh_token=request.json.get('refresh_token')#验证RefreshTokentry:payload=jwt.decode(refresh_token,SECRET_KEY,algorithms=['HS256'])#检查RefreshToken是否有效(未过期且未被撤销)#生成新的AccessTokennew_access_token=jwt.encode({'sub':payload['sub'],'exp':datetime.datetime.utcnow()+datetime.timedelta(hours=2)},SECRET_KEY)returnjsonify({'access_token':new_access_token})exceptjwt.ExpiredSignatureError:returnjsonify({'error':'refresh_token_expired'}),401exceptjwt.InvalidTokenError:returnjsonify({'error':'invalid_token'}),401```###关键点说明1.**Token过期检查**:前端解析JWT中的`exp`字段判断是否过期(引用[1])。2.**刷新并发控制**:通过`isRefreshing`和请求队列避免重复刷新(引用[3])。3.**刷新接口**:使用RefreshToken通过POST请求获取新Token(引用[2]和[4])。###安全建议-**HttpOnlyCookie**:存储RefreshToken以防止XSS攻击。-**刷新Token一次有效**:服务端刷新后使原RefreshToken失效(可选,增强安全性)。§§相关问题§§1.如何在前端安全地存储Token?2.双Token机制如何防止CSRF攻击?3.如何在后端实现Token的黑名单(用于立即失效)?4.JWTToken的签名验证原理是什么?5.单页应用(SPA)中Token刷新的最佳实践是什么?</think>### JWT Token过期自动刷新处理方案 #### 核心实现原理 1. **双Token机制**: - **Access Token**:短期有效(如2小时),用于常规API请求 - **Refresh Token**:长期有效(如7天),用于刷新Access Token[^2] 2. **刷新流程**: - 当Access Token过期时,使用Refresh Token请求新Token - 服务端验证Refresh Token有效性后返回新Access Token - 自动重试原始请求 #### 前端实现方案JavaScript) ```javascript let isRefreshing = false; // 刷新状态锁 let refreshQueue = []; // 等待队列 // 刷新Token函数 async function refreshToken() { if (isRefreshing) return new Promise(resolve => { refreshQueue.push(resolve); // 加入等待队列 }); isRefreshing = true; try { const response = await fetch('/auth/refresh', { method: 'POST', headers: {'Content-Type': 'application/json'}, body: JSON.stringify({refresh_token: getRefreshToken()}) }); const { access_token } = await response.json(); saveNewToken(access_token); // 存储新Token isRefreshing = false; // 执行所有等待中的请求 refreshQueue.forEach(resolve => resolve(access_token)); refreshQueue = []; return access_token; } catch (error) { isRefreshing = false; logoutUser(); // 刷新失败则登出 throw error; } } // 封装API请求 async function secureFetch(url, options = {}) { let token = getAccessToken(); // 检查Token是否过期(解析JWT的exp字段) const payload = JSON.parse(atob(token.split('.')[1])); if (Date.now() >= payload.exp * 1000) { token = await refreshToken(); // 自动刷新 } // 添加Authorization头 const headers = { ...options.headers, Authorization: `Bearer ${token}` }; return fetch(url, {...options, headers}); } ``` #### 后端刷新接口实现(Python示例) ```python from flask import request, jsonify import jwt import datetime @app.route('/auth/refresh', methods=['POST']) def refresh_access_token(): refresh_token = request.json.get('refresh_token') try: # 验证refresh_token有效性 payload = jwt.decode(refresh_token, SECRET_KEY, algorithms=['HS256']) # 生成新access_token new_payload = { "sub": payload["sub"], "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=2), "iat": datetime.datetime.utcnow() } new_token = jwt.encode(new_payload, SECRET_KEY, algorithm='HS256') return jsonify({ "access_token": new_token, "expires_in": 7200 # 2小时有效期 }) except jwt.ExpiredSignatureError: return jsonify({"error": "refresh_token_expired"}), 401 except jwt.InvalidTokenError: return jsonify({"error": "invalid_token"}), 401 ``` #### 关键处理逻辑 1. **Token过期检测**: - 解析JWT的`exp`字段(过期时间戳)[^1] - 比较当前时间与过期时间:`Date.now() >= payload.exp * 1000` 2. **并发请求处理**: - 使用`isRefreshing`标志防止重复刷新 - 请求队列(`refreshQueue`)存储等待请求 - 刷新完成后批量重试队列中的请求[^3] 3. **刷新接口安全**: - 验证Refresh Token签名有效性 - 检查Refresh Token是否在黑名单中 - 设置Refresh Token短有效期(建议7-30天) 4. **自动重试机制**: - 获取新Token后自动重试原始请求 - 支持最多3次重试(避免无限循环)[^4] #### 最佳实践建议 1. **Token存储安全**: - Access Token:内存或Session Storage - Refresh Token:HttpOnly Cookie或安全存储 2. **刷新频率控制**: ```javascript // 添加刷新频率限制 const lastRefresh = Date.now() - refreshTime; if (lastRefresh < 5000) { // 5秒内不重复刷新 return existingToken; } ``` 3. **失效处理**: - 当Refresh Token过期时强制用户重新登录 - 记录异常刷新尝试(安全审计) 4. **服务端优化**: - 使用Redis缓存已签发Token - 实现Token自动撤销机制 > 此方案通过双Token机制和请求队列管理,实现了无缝的Token刷新体验,同时保证系统安全性[^3][^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值