请求时token过期自动刷新token

最新推荐文章于 2025-04-17 18:59:23 发布
最新推荐文章于 2025-04-17 18:59:23 发布
阅读量1.2w 收藏 35
点赞数 5
CC 4.0 BY-SA版权
文章标签: java javascript 前端 ViewUI
原文链接:https://segmentfault.com/a/1190000016946316
博客介绍了token的作用,即保障用户请求合法性。当token失效时,网站有跳转登录页和自动请求新token两种处理方式。重点阐述了用axios请求时,页面多请求导致token失效的处理方法,利用Promise函数集合和设置刷新开关避免重复请求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.在开发过程中,我们都会接触到token,token的作用是什么呢?主要的作用就是为了安全,用户登陆时,服务器会随机生成一个有时效性的token,用户的每一次请求都需要携带上token,证明其请求的合法性,服务器会验证token,只有通过验证才会返回请求结果。

2.当token失效时,现在的网站一般会做两种处理,一种是跳转到登陆页面让用户重新登陆获取新的token,另外一种就是当检测到请求失效时,网站自动去请求新的token,第二种方式在app保持登陆状态上面用得比较多。

3.下面进入主题,我们请求用的是axios,不管用何种请求方式,刷新token的原理都是一样的。

//封装了一个统一的请求函数,这个不是重点

export default function request(url, options) {
    const token = localStorage.getItem('token');
    const defaultOptions = {
        headers: {
            Authorization: `Bearer ${token}`,
        },
        withCredentials: true,
        url: url,
        baseURL: BASE_URL,
    };
    const newOptions = { ...options, ...defaultOptions };
    return axios.request(newOptions)
        .then(checkStatus)
        .catch(error => console.log(error));
}

// 封装了一个检测返回结果的函数,与后台返回状态码code === 1002表示token失效

let isRefreshing = true;
function checkStatus(response) {
  if (response && response.code === 1002) {
    // 刷新token的函数,这需要添加一个开关,防止重复请求
    if(isRefreshing){
        refreshTokenRequst()
    }
    isRefreshing = false;
    // 这个Promise函数很关键
      const retryOriginalRequest = new Promise((resolve) => {
                addSubscriber(()=> {
                    resolve(request(url, options))
                })
            });
            return retryOriginalRequest;
  }else{
      return response;
  }
}

// 刷新token的请求函数

function refreshTokenRequst(){
    let data;
    const refreshToken = localStorage.getItem('refreshToken');
    data:{
        authorization: 'YXBwYXBpczpaSWxhQUVJdsferTeweERmR1praHk=',
        refreshToken,
    }
    axios.request({
        baseURL: BASE_URL,
        url:'/app/renewal',
        method: 'POST',
        data,
    }).then((response)=>{
        localStorage.setItem('refreshToken',response.data.refreshToken);
        localStorage.setItem('token',response.data.token);
        onAccessTokenFetched();
        isRefreshing = true;
    });
}

// Promise函数集合

let subscribers = [];
function onAccessTokenFetched() {
    subscribers.forEach((callback)=>{
        callback();
    })
    subscribers = [];
}

function addSubscriber(callback) {
    subscribers.push(callback)
}

总结:其实token失效,自动刷新token,在页面只有一个请求的时候是比较好处理的,但是如果页面同时有多个请求,并且都会产生token失效,这就需要一些稍微复杂的处理,解决方式主要是用了Promise 函数来进行处理。每一个token失效的请求都会存到一个Promise函数集合里面,当刷新token的函数执行完毕后,才会批量执行这些Promise函数,返回请求结果。还有一点要注意一下,这儿设置一个刷新token的开关isRefreshing,这个是非常有必要的,防止重复请求。

JWT token过期后自动续期的解决方案
leeta的博客
08-20 4321
在文中给出的例子中,仅实现了登录认证,但是并没有设置token过期间,在实际应用中,token一般都需要设置过期间。 如何设置token过期间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
彻底搞清楚token续期
weixin_43521001的博客
06-12 1023
Token续期是为了在用户使用应用程序,在Token即将过期,无需用户重新登录即可延长其有效间,以保持用户的登录状态。
请求token过期自动刷新token操作
10-14
主要介绍了请求token过期自动刷新token操作,具有很好的参考价,希望对大家有所帮助。一起跟随小编过来看看吧
JWT token过期自动续期解决方案
Follow me !
12-15 5109
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期间)和signature(签证,签证信息)。 token token就是后端生成的JWT字符串,在前后端分离中,token前端访问后端接口的合法身份、权限的凭证。 token过期刷新方案 1、单点登录 用户登录,后端验证用户成功之后生成两个token,这两个token分别是access_t
vue token过期自动刷新token
热门推荐
cai_niao5623的博客
04-11 1万+
在系统登录后,后端返回一个token,和refreshToken。每次接口请求候都会携带这个token,但是这个token一般是有过期间的,假设过期间为半小,你半小内没有调接口。半小后你再调接口,会报401错误,代表token过期,这个前端有两种解决方案,第一种也就是退出登录,让用户重新登录,这种比较简单。但是我们的经理不希望用户再次登录,而是希望这个token能自动更新,我就稍微的研究了一下,发现可行,所以记录到此,方便日后查看 自动刷新token的原理就是: 在axios响应拦截器
JWT 过期自动刷新方案
qq_56694800的博客
11-15 3028
JWT(JSON Web Token)广泛应用于现代 Web 开发中的认证与授权,它以无状态、灵活和高效的特点深受开发者欢迎。然而,JWT 的一个核心问题是。在实际开发中,可以结合业务需求和技术条件选择最适合的方案,甚至进行多方案组合,实现性能与安全的平衡。本文将总结常见的解决方案,分析其优缺点,并帮助开发者选择适合自己项目的方案。
Android OkHttp实现全局过期token自动刷新示例
01-20
现在,每当请求返回401(未授权)或其他预设的过期状态码,拦截器会自动触发刷新token的过程,然后使用新token重新发送请求。整个过程对用户来说是透明的,提高了应用的用户体验。 得注意的是,上述示例中的`...
Android token过期刷新处理的方法示例
08-26
Android Token 过期刷新处理方法示例 Android Token 过期刷新处理是移动端应用程序中常见的问题之一。当用户的 Token 过期,应用程序需要重新刷新 Token,以确保用户的身份验证。下面是 Android Token 过期刷新...
JWT(无状态token过期自动刷新流程详解
大西瓜超帅
09-07 3330
JWT(无状态token过期自动刷新 步骤: 通过过滤器拦截用户请求接口、判断header是否携带有token、没有携带的话返回提示直接写入response 响应前端。 携带了token的话我们自定义shiro 用户认证的 UsernamePasswordToken前端携带过来的业务访问token(accessToken) 整合成一个 UsernamePasswordToken。 主体提交认证(getSubject(servletRequest,servletResponse).login(cust
token过期 如何使用refresh_token实现无感刷新页面?
Erictezx的博客
12-21 1851
1.token过期根据refresh_token获取新的token 重新获取数据 2.创建一个新的axios实例 【使用request防止再次进入请求拦截和请求响应而进入死循环】 3.根据请求相应的响应 是不是401 是:说明token过期,然后进行判断store中的 user :{token:'*****',refresh_token:'******'}中的 refresh_token和user对象是否存在 ,如果不存在说明之前没有登录过,直接去登录 4.使用新创建的axios 实例对象 requ
JWT登录过期-自动刷新token方案介绍
weixin_42397937的博客
08-14 1万+
JWT登录过期-自动刷新token方案介绍前言方案一、前端控制检测token,无感知刷新刷新方案核心逻辑疑问:RefreshToken有效期那么长,和直接将AccessToken的有效期延长有什么区别缺点:优点:方案二、后端存储判断过期间优点:缺点:总结 前言 在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在用户操作页面期间,突然提示登录,则体验很不友好,所以就有了token自动刷新需求。 但是这个自动刷新方案,基本都离不开服务端状.
自动刷新token方案
weixin_34308389的博客
07-24 7111
本文结合Rxjava Okhttp Retrofit 开源方案予以实现 制定目标 执行业务请求,accessToken 失效,自动执行refreshToken,携带最新accessToken重试之前的业务请求 多业务请求并发访问,所有请求均失效,保证仅有一次refreshToken操作 对refreshToken进行合理的节流 业务请求+refreshToken 合理的降级策略 特殊场景...
token过期 刷新token
Lixw296182的博客
03-01 1477
token过期刷新token
关于刷新token的几点思考
qiuxinfa123的博客
05-11 3603
前后端分离,使用token作为身份认证,会存在一些问题,如何刷新token,便是其中一个。 个人觉得可以分为两大类: (1)前端请求刷新token,可以是主动请求刷新,也可以是被动去请求刷新token (2)后端默默刷新token,无须前端请求 一、前端请求刷新token 这里又可以分为两种情况: (1)在请求拦截器里,检测token是否存在,如果token存在,再检测过期间与当前间的差,是否在允许的范围内,如果是,在token过期之前,主动请求刷新token,这里使...
小程序所有人都能登录,为什么还要添加 Token
轻风细雨_林木木
04-17 417
首先这是个很好的问题,可以从 功能性 和 安全性 两方面来分析一下:如果:那确实可以不加 Token,也不会影响使用。标识用户身份做权限判断安全性考虑易于扩展你可以这样做:这样就像“发给每个人一个通行证”,哪怕啥都不做,以后也能追踪到: 总结 是否需要 Token? 说明 可以不加 如果所有用户都一样、也不做身份相关操作 建议加 哪怕只是游客,也利于扩展、安全和身份标识 但个人最后的建议是,一定要加!!!!推荐 用 openid + token 标记身份 方式添加。 如果是综合系统
axios实现token过期自动重新刷新,并让之前的请求重新再发一次请求,实现请求重发,而让调用的的人无感
weixin_45133990的博客
06-22 1038
axios 请求重发 同一个请求
基于OkHttp拦截器实现Token自动刷新(kotlin实现)
追风筝的人
02-01 1474
基于OkHttp拦截器实现Token自动刷新
解决使用Microsoft Graph OAuth获取令牌,没有refresh_token的问题
weixin_30363509的博客
05-18 787
今天在使用Microsoft Graph 的候,发现按照官方文档,无论如何都不能获取refresh_token,其他都没问题,经过查询,发现是因为在第一步,获取code授权,没有给离线权限(offline_access)。 加上就可以了。 代码片段: { client_id: 'xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx', ...
Apifox测试登录接口后怎么自动更新token
qq_63241030的博客
02-12 1656
apifox怎么在执行登录接口后自动更新token
如何处理Token过期自动刷新
最新发布
06-21
<think>我们正在处理JWTToken过期自动刷新的问题。根据引用内容,我们可以总结出以下关键点:1.**JWT的exp字段**:表示Token过期间(引用[1])。2.**双Token机制**:使用AccessToken和RefreshToken(引用[2])。3.**自动刷新策略**:在检测到Token过期,使用RefreshToken获取新的AccessToken(引用[3]和[4])。###解决方案:Token过期自动刷新####1.双Token机制-**AccessToken**:用于业务请求,有效期较短(如2小)。-**RefreshToken**:用于刷新AccessToken,有效期较长(如7天),存储在安全的地方(如HttpOnlyCookie)。####2.刷新流程当AccessToken过期:1.客户端使用RefreshToken请求新的AccessToken(通过POST接口)。2.服务端验证RefreshToken的有效性:-有效:返回新的AccessToken(和可选的新的RefreshToken)。-无效:要求用户重新登录。####3.防止并发刷新当多个请求发现Token过期,应避免多次刷新。解决方案(引用[3]):-设置一个刷新状态标记(`isRefreshing`)和一个存储待处理请求的队列(Promise队列)。-第一个发现过期请求负责刷新Token,其他请求加入队列等待刷新完成。###代码实现示例####前端JavaScript)实现```javascriptletisRefreshing=false;//是否正在刷新TokenletrefreshSubscribers=[];//等待刷新请求队列//添加请求到队列functionsubscribeTokenRefresh(cb){refreshSubscribers.push(cb);}//刷新完成后执行队列中的请求functiononRefreshed(token){refreshSubscribers.map(cb=>cb(token));refreshSubscribers=[];}//刷新Token的函数asyncfunctionrefreshToken(){constrefreshToken=localStorage.getItem('refresh_token');constresponse=awaitfetch('/auth/refresh',{method:'POST',headers:{'Content-Type':'application/json'},body:JSON.stringify({refresh_token:refreshToken})});constdata=awaitresponse.json();localStorage.setItem('access_token',data.access_token);returndata.access_token;}//封装API请求asyncfunctionapiRequest(url,options){letaccessToken=localStorage.getItem('access_token');if(!accessToken)thrownewError('未登录');//检查Token是否过期(需要解析JWT的exp字段)consttokenExpired=isTokenExpired(accessToken);//实现此函数if(tokenExpired){if(!isRefreshing){isRefreshing=true;try{constnewToken=awaitrefreshToken();isRefreshing=false;onRefreshed(newToken);}catch(error){isRefreshing=false;throwerror;}}//将当前请求加入队列,等待刷新完成后重试returnnewPromise((resolve)=>{subscribeTokenRefresh((token)=>{//使用新Token重试原请求options.headers.Authorization=`Bearer${token}`;resolve(fetch(url,options));});});}else{//Token过期,正常请求options.headers={...options.headers,Authorization:`Bearer${accessToken}`};returnfetch(url,options);}}//检查Token是否过期functionisTokenExpired(token){constpayload=JSON.parse(atob(token.split('.')[1]));constexp=payload.exp*1000;//转为毫秒returnDate.now()>exp;}```####后端(Python)刷新接口示例```pythonfromflaskimportrequest,jsonifyimportjwtimportdatetime@app.route('/auth/refresh',methods=['POST'])defrefresh_token():refresh_token=request.json.get('refresh_token')#验证RefreshTokentry:payload=jwt.decode(refresh_token,SECRET_KEY,algorithms=['HS256'])#检查RefreshToken是否有效(未过期且未被撤销)#生成新的AccessTokennew_access_token=jwt.encode({'sub':payload['sub'],'exp':datetime.datetime.utcnow()+datetime.timedelta(hours=2)},SECRET_KEY)returnjsonify({'access_token':new_access_token})exceptjwt.ExpiredSignatureError:returnjsonify({'error':'refresh_token_expired'}),401exceptjwt.InvalidTokenError:returnjsonify({'error':'invalid_token'}),401```###关键点说明1.**Token过期检查**:前端解析JWT中的`exp`字段判断是否过期(引用[1])。2.**刷新并发控制**:通过`isRefreshing`和请求队列避免重复刷新(引用[3])。3.**刷新接口**:使用RefreshToken通过POST请求获取新Token(引用[2]和[4])。###安全建议-**HttpOnlyCookie**:存储RefreshToken以防止XSS攻击。-**刷新Token一次有效**:服务端刷新后使原RefreshToken失效(可选,增强安全性)。§§相关问题§§1.如何在前端安全地存储Token?2.双Token机制如何防止CSRF攻击?3.如何在后端实现Token的黑名单(用于立即失效)?4.JWTToken的签名验证原理是什么?5.单页应用(SPA)中Token刷新的最佳实践是什么?</think>### JWT Token过期自动刷新处理方案 #### 核心实现原理 1. **双Token机制**: - **Access Token**:短期有效(如2小),用于常规API请求 - **Refresh Token**:长期有效(如7天),用于刷新Access Token[^2] 2. **刷新流程**: - 当Access Token过期,使用Refresh Token请求Token - 服务端验证Refresh Token有效性后返回新Access Token - 自动重试原始请求 #### 前端实现方案(JavaScript) ```javascript let isRefreshing = false; // 刷新状态锁 let refreshQueue = []; // 等待队列 // 刷新Token函数 async function refreshToken() { if (isRefreshing) return new Promise(resolve => { refreshQueue.push(resolve); // 加入等待队列 }); isRefreshing = true; try { const response = await fetch('/auth/refresh', { method: 'POST', headers: {'Content-Type': 'application/json'}, body: JSON.stringify({refresh_token: getRefreshToken()}) }); const { access_token } = await response.json(); saveNewToken(access_token); // 存储新Token isRefreshing = false; // 执行所有等待中的请求 refreshQueue.forEach(resolve => resolve(access_token)); refreshQueue = []; return access_token; } catch (error) { isRefreshing = false; logoutUser(); // 刷新失败则登出 throw error; } } // 封装API请求 async function secureFetch(url, options = {}) { let token = getAccessToken(); // 检查Token是否过期(解析JWT的exp字段) const payload = JSON.parse(atob(token.split('.')[1])); if (Date.now() >= payload.exp * 1000) { token = await refreshToken(); // 自动刷新 } // 添加Authorization头 const headers = { ...options.headers, Authorization: `Bearer ${token}` }; return fetch(url, {...options, headers}); } ``` #### 后端刷新接口实现(Python示例) ```python from flask import request, jsonify import jwt import datetime @app.route('/auth/refresh', methods=['POST']) def refresh_access_token(): refresh_token = request.json.get('refresh_token') try: # 验证refresh_token有效性 payload = jwt.decode(refresh_token, SECRET_KEY, algorithms=['HS256']) # 生成新access_token new_payload = { "sub": payload["sub"], "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=2), "iat": datetime.datetime.utcnow() } new_token = jwt.encode(new_payload, SECRET_KEY, algorithm='HS256') return jsonify({ "access_token": new_token, "expires_in": 7200 # 2小有效期 }) except jwt.ExpiredSignatureError: return jsonify({"error": "refresh_token_expired"}), 401 except jwt.InvalidTokenError: return jsonify({"error": "invalid_token"}), 401 ``` #### 关键处理逻辑 1. **Token过期检测**: - 解析JWT的`exp`字段(过期间戳)[^1] - 比较当前间与过期间:`Date.now() >= payload.exp * 1000` 2. **并发请求处理**: - 使用`isRefreshing`标志防止重复刷新 - 请求队列(`refreshQueue`)存储等待请求 - 刷新完成后批量重试队列中的请求[^3] 3. **刷新接口安全**: - 验证Refresh Token签名有效性 - 检查Refresh Token是否在黑名单中 - 设置Refresh Token短有效期(建议7-30天) 4. **自动重试机制**: - 获取新Token后自动重试原始请求 - 支持最多3次重试(避免无限循环)[^4] #### 最佳实践建议 1. **Token存储安全**: - Access Token:内存或Session Storage - Refresh Token:HttpOnly Cookie或安全存储 2. **刷新频率控制**: ```javascript // 添加刷新频率限制 const lastRefresh = Date.now() - refreshTime; if (lastRefresh < 5000) { // 5秒内不重复刷新 return existingToken; } ``` 3. **失效处理**: - 当Refresh Token过期强制用户重新登录 - 记录异常刷新尝试(安全审计) 4. **服务端优化**: - 使用Redis缓存已签发Token - 实现Token自动撤销机制 > 此方案通过双Token机制和请求队列管理,实现了无缝的Token刷新体验,同保证系统安全性[^3][^4]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值