token相关问题

于 2025-04-14 23:18:40 发布
阅读量341 收藏 9
点赞数 4
CC 4.0 BY-SA版权
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_68124243/article/details/147234890

一般流程是这样的:

  1. 用户输入账号密码 → 发请求给后端 → 后端验证成功后返回 token

  2. 前端拿到 token 后,用 setToken(token) 存入状态 + localStorage + 设置 axios 请求头

  3. 后续页面就能自动带上 token 请求数据了

场景一:用户登录的时候(推荐方式) 

你会有一个登录页面,用户填写账号密码后:

import axios from "axios";
import { useAuth } from "./AuthProvider"; // 假设你把 AuthProvider 包好了

const LoginPage = () => {
  const { setToken } = useAuth();

  const handleLogin = async () => {
    const res = await axios.post("/api/login", {
      username: "user123",
      password: "password123"
    });

    const token = res.data.token;
    setToken(token); 
    // 这里就触发了 AuthProvider 中的逻辑:设置 axios 请求头 + localStorage
  };

  return (
    <button onClick={handleLogin}>登录</button>
  );
};

在这个逻辑中:

  • 后端返回 token

  • 你用 setToken 存起来(自动进入 localStorage、axios header)

 

场景二:无感登录(比如用 cookie、或者刷新 token)

假设你后端设计了「用 refreshToken 自动换取新 token」:

你可以在 AuthProvider 组件里做一次尝试请求,比如:

useEffect(() => {
  const tryRefreshToken = async () => {
    try {
      const res = await axios.post("/api/refresh-token");
      const newToken = res.data.token;

      // 如果情况正常 -> 正常执行
      // 如果发现异常 -> 我主动扔个错误
      if (newToken) {
        setToken(newToken);
      } else {
        throw new Error("无效 token");
      }
    } catch (err) {
     // 不管是上面我手动扔的,还是系统报的错,都会被抓到这里处理
      console.log("自动登录失败,跳转登录页");
      setToken(null);

      // 你可以在这里跳转登录页
      // navigate("/login"); // 如果用了 React Router
    }
  };

  if (!token) {
    tryRefreshToken();
  }
}, []);

 这样用户第一次进入页面时,如果本地没有 token,就尝试刷新获取。

throw new Error(...)catch (err) 的作用和区别

✅ 举个具体例子

const login = async () => {
  try {
    const res = await axios.post("/api/login", { username, password });
    if (!res.data.token) {
      throw new Error("后端没有返回 token");
    }
    setToken(res.data.token);
  } catch (err) {
    alert("登录失败:" + err.message);
  }
};

如果后端返回的是:

{ "message": "用户名或密码错误" }

你这边拿不到 token,但 HTTP 状态是 200,不会触发 catch,所以你必须自己 throw 错误,这样才能走进 catch

无感登录时为什么会有自动登录失败的情况

 

无感登录的本质

它的目标是:用户打开页面时,不用手动登录,就自动获取有效的 token。

最常见的实现方式是用 refreshToken,通过一个自动调用 /refresh-token 接口的流程,获取新的 accessToken,实现“无感知”登录。

❌ 自动登录可能失败的原因

1. refreshToken 已过期或失效

  • 每个 token 都有有效期。

  • 如果用户很久没访问页面,refreshToken 已经过期,就不能换新 token 了。

  • 后端接口会返回 401403,提示无效。

2. refreshToken 被删除或篡改

  • 浏览器的 localStoragecookie 被用户清理,或被某些插件修改。

  • 本地没有 refreshToken,就不能换取新 token。

3. 用户手动退出过登录

  • 如果你实现了退出逻辑,比如点击“退出登录”会清除 refreshToken,那自动登录自然就失效了。

4. 后端设置了强制下线机制

  • 比如:一个账号只能在一台设备登录,如果用户在别的设备登录了,之前的 refreshToken 会被废弃。

5. 网络异常

  • 用户打开页面时网络不稳定,无法访问 /refresh-token 接口。

Orange_橘子
关注
接口测试无token的解决办法
主攻大数据 人工智能 物联网 安全 低空经济等方向。mtsc 、gtest特邀分享嘉宾
05-15 145
场景解决方案适用阶段验证接口鉴权机制直接调用接口检查 401 响应安全性测试自动化测试需要 Token通过登录接口动态获取功能测试/回归测试测试环境特殊需求配置 Mock Token 或关闭鉴权开发/测试环境性能测试使用 Client Credentials 模式压力测试通过合理选择方案,既可验证接口安全性,又能保证自动化测试的顺利执行。建议优先采用动态获取 Token 的方式,既保证测试真实性,又避免安全风险。
Token学习笔记
weixin_39573047的博客
11-14 2196
Token是一种用户身份的验证方式。当用户第一次登录后,服务器生成一个Token并将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
Java后端登录(返回token
前方的路在刚开始
07-04 4710
java后端,创建token token
前后端 token 的使用
热门推荐
ximingx
04-30 1万+
前后端 token 的使用
TOKEN的获取方式
m0_45888132的博客
11-17 8979
TOKEN是一种用于身份验证和授权的令牌,通常用于保护API和web应用程序的安全。2.用户授权: 用户在授权页面上同意授权请求后,授权服务器将用户重定向回客户端制定的回调url,并附带一个授权码。无论通过哪种方式获取token,客户端在后续的请求中都需要将token包含在请求头中,以便服务器验证请求的有效性。通过这种方式,服务器可以验证请求的来源,并确保只有经过授权的用户才能访问受保护的资源。1.客户端请求授权:客户端引导用户授权访问授权服务器的授权页面。如果凭证正确,服务器生成一个token
简单无token不能调用方法的处理
ZXQZXP的博客
11-03 1269
调用登录接口后 生成token 根据token调用方法,无token时无法调用。在token不进行验证的情况下容易被伪造token进行访问。重点讲述无token时如何实现无法调用
Laravel (Lumen) 解决JWT-Auth刷新token问题
10-16
在Laravel (Lumen)框架中实现JWT-Auth刷新token的...以上内容为我们提供了在Laravel (Lumen)框架下处理JWT-Auth刷新token问题的详细知识点,这些知识点对于开发人员在实际工作中解决认证相关问题是具有很大帮助的。
springboot整合JWT框架,解决Token验证问题
06-24
2、服务器验证后在当前对话(session)保存相关数据。 3、服务器向返回sessionId,写入客户端 Cookie。 4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。 5、服务器收到 sessionId,验证客户端。 2、...
onenet平台Token计算工具
06-17
标签“软件/插件”表明这可能是一个独立的软件程序,或者是一个可以集成到其他开发环境或IDE中的插件,以便开发者在编写物联网应用时更便捷地处理Token相关任务。 在压缩包中的"Token"文件,可能是该工具的安装包、...
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 2137
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
Token生成规则以及工具相关代码
06-26
本文将深入探讨Token的生成规则及其相关工具,并基于提供的链接文章进行解析。 首先,理解Token的基本概念至关重要。Token通常是一个由服务器生成的唯一且安全的字符串,用于验证客户端(如用户或应用程序)的身份...
HttpRunner原来还能这么用,大开眼界!!!
m0_70618214的博客
11-28 609
也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望和志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划和总结,测试开发视频教程、学习笔记领取传送门!!
前后端分离项目——后端如何使用Token
2201_75692232的博客
10-13 749
token的意思是“令牌”,本质上是一种字符串,是用户身份的验证方式。token中间件用于判断token是否有效,并将用户信息注入到gin.Context中// AuthMiddleware 中间件检验token是否合法// 获取请求头中的token//验证token格式,不为空,开头为Bearerresponse.ResponseErrorWithMsg(c, 400, "token不合法")c.Abort()return//验证通过,提取有效部分(除去Bearer)
token问题和原理解析
u013478912的博客
05-01 8080
1.token的原理和作用 ​ token是用于验证身份的,在web系统中验证前端是否能够访问后端系统 ​ token在服务端产生,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 token 证明自己的合法地位。token是服务端生成的一串字符串,以作前端进行请求的一个令牌,当第一次登录后,服务器生成一个token并返...
转载:关于 Token,你应该知道的十件事
weixin_33918357的博客
09-07 657
关于 Token,你应该知道的十件事 原文地址:http://alvinzhu.me/blog/2014/08/26/10-things-you-should-know-about-tokens/ 原文是一篇很好的讲述 Token 在 Web 应用中使用的文章,而这是我和 Special 合作翻译的译文。 1. Token 应该被保存起来(放到 local / session stogr...
12.(后端)token基本原理与实现流程简易概括(一看就懂)
m0_63953077的博客
10-11 1823
token基本原理与实现流程简易概括(一看就懂)
向后端传token
weixin_53341042的博客
05-03 2406
如何向后端传token
onlyoffice的token问题
最新发布
03-15
好的,我现在需要帮助用户解决OnlyOffice中与token相关的配置或错误问题。首先,我得回忆一下之前学过的关于OnlyOffice的知识,特别是关于集成和配置的部分。记得用户提到了引用[1]和引用[2],里面提到了一些常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值