在vue前端开发中基于refreshToken和axios拦截器实现token的无感刷新

news2024/12/31 3:38:20

文章目录

      • 一、需求背景
      • 二、token刷新的方案
        • 1、根据过期时间重新获取
        • 2、定时刷新token接口
        • 3、使用了RefreshToken
      • 三、关于RefreshToken
      • 四、Refresh Token的优点
      • 五、Refresh Token的工作原理
      • 六、Refresh Token的使用流程
      • 七、Refresh Token的实现步骤
        • 1、登录成功后保存AccessToken,RefreshToken
        • 2、正常请求业务接口的时候携带AccessToken
        • 3、响应拦截器处理401权限错误
        • 4、防止重复请求refreshToken接口
        • 5、同时多个请求返回401,需要刷新token
      • 八、总结
      • 九、代码上传
        • 1、vue项目部分
        • 2、nodejs服务部分
      • 十、效果展示

一、需求背景

对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是30分钟的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。

实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的token进行覆盖,让用户感受不到token已过期。

二、token刷新的方案

1、根据过期时间重新获取

后端返回过期时间,前端判断token过期时间,去调用刷新token的接口。

缺点:需要后端额外提供一个token过期时间的字段;使用了本地时间判断,若本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败。

2、定时刷新token接口

根据token过期时间,写一个定时器,定时刷新token接口

缺点:浪费资源,消耗性能,不建议采用。

3、使用了RefreshToken

后端在登录之后会给前端一个RefreshToken字段同AccessToken一并传过来。token失效后利用RefreshToken去延长用户的登录信息。

三、关于RefreshToken

RefreshToken 方法是现代 Web 应用中一种常见的身份验证机制,尤其在需要长时间保持用户登录状态的场景下具有重要意义。

RefreshToken 方法的主要作用是在用户登录后,服务器生成一个 RefreshToken 并将其返回给客户端。客户端在之后的每次请求中都需要携带这个 RefreshToken,以便服务器能够验证用户身份并返回用户所需的数据。

使用场景包括但不限于:用户在应用中的长时间操作、用户在多个设备上使用应用、用户需要跨域访问应用等。在这些场景下,RefreshToken 方法能够有效地减少用户重复登录的次数,提高用户体验。

四、Refresh Token的优点

  • 安全性增强:Refresh Token不同于AccessToken,它只在第一次获取和刷新时在网络中传输,因此被盗的风险远小于AccessToken。同时,Refresh Token是加密字符串,并且和token是相关联的,相比获取各种资源的token,refresh token的作用仅仅是获取新的token,因此其作用和安全性要求都大为降低。

  • 减少服务器负担:使用Refresh Token刷新服务端不需要刷新Token的过期时间,一旦Token过期,就反馈给前端,前端使用Refresh Token申请一个全新Token继续使用。这种方案中,服务端只需要在客户端请求更新Token的时候对Refresh Token的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。

  • 提高用户体验:由于Refresh Token的存在,用户在访问令牌过期后不需要重新登录,提高了用户体验。

五、Refresh Token的工作原理

  • 当AccessToken过期时,客户端使用Refresh Token发起刷新请求。
  • 认证服务器验证Refresh Token的有效性。
  • 如果Refresh Token有效,认证服务器会生成一个新的AccessToken,并返回给客户端。
  • 客户端收到新的AccessToken后,可以继续使用该token访问受保护资源。

在这里插入图片描述

六、Refresh Token的使用流程

  • 首次登录的时候会获取到两个token(AccessToken,RefreshToken)
  • 持久化保存起来(localStorage方案)
  • 正常请求业务接口的时候携带AccessToken
  • 当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken
  • 替换原有旧的AccessToken,并保存
  • 继续未完成的请求,携带AccessToken
  • RefreshToken也过期了,跳转回登录页面,重新登录

七、Refresh Token的实现步骤

1、登录成功后保存AccessToken,RefreshToken

登录请求登录接口authorization(),这里省略了。
比如我们请求登录接口"authorization"成功后,后端返回我们2个字段。

data:{
    code:200,
    msg:'ok',
    accessToken:'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6ImFkbWluIiwiaWF0IjoxMzIyNTc1MDcyOSwiZXhwIjoxNzA2NjMwMzk5fQ.sTLeqLl9lgG4OW40RNXdoZz9NO2bgCOOtnXuErRkXBM',
    RefreshToken:'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6ImFkbWluIiwiaWF0IjoxMzIyNTc1MDcyOSwiZXhwIjoxNzA2NjMzMzk5fQ.GF-j_rFEMNwh7H7o4MbM5EFspFC5lQ1zxD85e70nOiM',
}

保存到localStorage里面

localStorage.setItem('accessToken', res.data.data.accessToken);
localStorage.setItem('RefreshToken', res.data.data.RefreshToken);
2、正常请求业务接口的时候携带AccessToken
import axios from 'axios'

// 创建axios实例
const service = axios.create({
  timeout: 20000, // 请求超时时间(毫秒)
})

// 请求拦截器
service.interceptors.request.use((config) => {
	const accessToken = localStorage.getItem('accessToken');
	const RefreshToken = localStorage.getItem('RefreshToken');
	if (config.url) {
		// 此处为 Refresh Token 专用接口,请求头使用 Refresh Token
		if (config.url.indexOf('/refreshToken') >= 0) {
			config.headers['token'] = RefreshToken;
		} else if (!(config.url.indexOf('/login') !== -1 && config.method === 'post')) {
			// 其他接口,请求头使用 Access Token
			config.headers['token'] = accessToken;
		}
		return config;
	}
}, error => {
	return Promise.reject(error);
})
3、响应拦截器处理401权限错误
service.interceptors.response.use(async (response) => {
	let res = response.data
	// 为了演示,这里仅展示处理状态码为401的情况
	if (res.code == '401') {
			// 这里是获取新token的接口,方法在这里省略了。
			const result = await refreshToken()
			// 获取成功
			if (result && result.data) {
				// 新token
				let newToken = result.data
				// 保存新的accessToken
				localStorage.setItem('accessToken', newToken)
				// 替换新accessToken
				response.config.headers.token = newToken
				// 继续未完成的请求
				const resp = await service.request(response.config)
				// 返回请求结果
				return resp
			} else {
				// 清除token
				localStorage.clear()
				// 跳转到登录页
				router.replace('/login')
			}
	}
	return res
}, error => {
	// 返回错误信息
	return Promise.reject(error)
})
4、防止重复请求refreshToken接口

为了防止多次刷新token,可以通过一个变量isRefreshing 去控制是否正在请求刷新token的接口。

响应拦截器处理,防止同时多次调用刷新token接口。

  • 这里使用isRefreshing变量,存放是否正在请求
// 变量isRefreshing
let isRefreshing = false

service.interceptors.response.use(async (response) => {
	let res = response.data
	// 为了演示,这里仅展示处理状态码为401的情况
	if (res.code == '401') {
		// 控制是否在刷新token的状态
		if (!isRefreshing) {
			// 修改isRefreshing状态
			isRefreshing = true
			// 这里是获取新token的接口,方法在这里省略了。
			const result = await refreshToken()
			// 获取成功
			if (result && result.data) {
				// 新token
				let newToken = result.data
				// 保存新的accessToken
				localStorage.setItem('accessToken', newToken)
				// 替换新accessToken
				response.config.headers.token = newToken

				// 继续未完成的请求
				const resp = await service.request(response.config)
				// 重置状态
				isRefreshing = false
				// 返回请求结果
				return resp
			} else {
				// 清除token
				localStorage.clear()
				// 重置状态
				isRefreshing = false
				// 跳转到登录页
				router.replace('/login')
			}
		} 
	}
	return res
}, error => {
	// 返回错误信息
	return Promise.reject(error)
})
5、同时多个请求返回401,需要刷新token

第一个refreshToken接口还没返回,后面的请求又过来了,防止同时多次调用刷新token接口,先把后面这些请求放在一个数组里面,等到refreshToken接口成功后,我们再逐个重试数组里面的请求。

响应拦截器处理,同时多个请求返回401,需要刷新token

  • 这是使用了requestList存放请求队列
// 变量isRefreshing
let isRefreshing = false
// 后续的请求队列
let requestList = []

service.interceptors.response.use(async (response) => {
	let res = response.data
	// 为了演示,这里仅展示处理状态码为401的情况
	if (res.code == '401') {
		// 控制是否在刷新token的状态
		if (!isRefreshing) {
			// 修改isRefreshing状态
			isRefreshing = true
			// 这里是获取新token的接口,方法在这里省略了。
			const result = await refreshToken()
			// 获取成功
			if (result && result.data) {
				// 新token
				let newToken = result.data
				// 保存新的accessToken
				localStorage.setItem('accessToken', newToken)
				// 替换新accessToken
				response.config.headers.token = newToken

				// token 刷新后将数组里的请求队列方法重新执行
				requestList.forEach((cb) => cb(newToken))
				// 重新请求完清空
				requestList = []

				// 继续未完成的请求
				const resp = await service.request(response.config)
				// 重置状态
				isRefreshing = false
				// 返回请求结果
				return resp
			} else {
				// 清除token
				localStorage.clear()
				// 重置状态
				isRefreshing = false
				// 跳转到登录页
				router.replace('/login')
			}
		} else {
			// 后面的请求走这里排队
			// 返回未执行 resolve 的 Promise
			return new Promise(resolve => {
				// 用函数形式将 resolve 存入,等待获取新token后再执行
				requestList.push(newToken => {
					response.config.headers.token = newToken
					resolve(service(response.config))
				})
			})
		}
	}
	return res
}, error => {
	// 返回错误信息
	return Promise.reject(error)
})

八、总结

基本的思路是这样的,你也可以根据自己的业务需要,自己修改。

  • 比如抽离上面的方法或逻辑,单独封装。

  • 你也可以添加接口失败重连的逻辑。

  • 你也可以使用数据加密传输,例如sm4等。

九、代码上传

这里我做了个简单的demo演示,可以到顶部下载。

1、vue项目部分

下载依赖

npm i

启动项目

npm run serve

启动后项目地址为:http://localhost:8080

1、先进入登录页面,点击’登录’按钮,请求’login’接口,接口返回accessToken、RefreshToken。

2、跳转到首页,正常携带token请求’getTableList’接口,接口返回列表数据。

3、下面做了3个按钮来测试接口返回401的状态。

  • 点击1个按钮,用来测试’test1’接口返回401状态,响应拦截器做了处理自动请求’refreshToken’。

  • 连续点击2个或3个按钮,用来测试防止重复请求refreshToken接口。第一个refreshToken接口还没返回,后面的请求又过来了,防止同时多次调用刷新token接口,先把后面这些请求放在一个数组里面,等到refreshToken接口成功后,我们再逐个重试数组里面的请求。

2、nodejs服务部分

做了个简单的nodejs服务,里面写了对应的测试接口。

下载依赖

npm i

启动服务

npm run serve

启动后服务为:http://localhost:3000

  • 为了演示接口401状态,test1、test2、test3接口第1次请求返回401,后面就返回200正常状态。

  • 接口getTableList为普通接口,正常返回数据。

  • 接口login、refreshToken里面的token为模拟的JWT格式的token。

  • 接口refreshToken为了演示,里面做了延迟5s返回数据。

十、效果展示

登录页面
在这里插入图片描述

首页
在这里插入图片描述

这里是同时点击3个按钮,第1个test1请求返回401后,去请求refreshToken,因为这个接口做了5s延迟,不会立即返回结果,后面test2,test3也都返回401,因为做了判断,所有不会重复去请求refreshToken。等到refreshToken返回结果后,会自动去重新请求请求队列里面的接口。后面陆续返回了test1、test2、test3正常的结果。
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1489065.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Studio One 6永久激活版 附完整图文安装破解教程

Studio One 6是一款功能强大的音乐制作和录音软件,专为Mac操作系统设计。它提供了多轨录音和混音、MIDI音乐制作、实时效果和处理、VST插件支持以及高级编辑和编排等丰富的功能。无论是专业音乐制作人还是音乐爱好者,都可以使用Studio One 6来创建和编辑…

爬虫案例一

首先我举一个案例比如豆瓣电影排行榜 (douban.com)这个电影,首先我们进去检查源代码 说明源代码有,说明是服务器渲染,可以直接那html 但是返回的结果是空,所以我们需要在头里面加上User-Agent 然后可以看到有返回的结果&#xff0…

网络学习:MPLS标签与标签分配协议—LDP

目录 前言: 一、MPLS标签 1、定义: 2、标签结构: 3、标签识别: 二、标签分配协议---LDP(Lable Distribution Protocol) 1、定义: 2、标签分配协议的种类: 3、LDP消息类型 …

C/C++平方和问题(蓝桥杯)

题目描述: 小明对数位中含有2、0、1、9 的数字很感兴趣,在1 到40 中这样的数包 括1、2、9、10 至32、39 和40,共28 个,他们的和是574,平方和是14362。 注意,平方和是指将每个数分别平方后求和。 请问&#…

从零开始学习Netty - 学习笔记 -Netty入门【协议设计和解析】

2.协议设计和解析 协议 在计算机中,协议是指一组规则和约定,用于在不同的计算机系统之间进行通信和数据交换。计算机协议定义了数据传输的格式、顺序、错误检测和纠正方法,以及参与通信的各个实体的角色和责任。计算机协议可以在各种不同的层…

第四十九回 吴学究双掌连环计 宋公明三打祝家庄-Python与HTTP服务交互

吴用请戴宗从梁山请来铁面孔目裴宣、圣手书生萧让、通臂猿侯健、玉臂匠金大坚来帮忙。又告诫扈家庄的扈成,打起来不要去帮祝家庄。 孙立把旗号改成“登州兵马提辖孙立”,来祝家庄找峦廷玉,被热情接待。 第三天,宋江派小李广花荣…

001 GUI编程简介

一个知识该怎么学? 这是什么该怎么玩能干什么 图形化程序应该包含并不限于如下组件 窗口弹窗面板文本框列表框按钮图片监听事件鼠标键盘事件 GUI介绍 核心技术:Swing与AWT 不流行原因:界面不美观、需要JRE环境 仍然学习的原因&#xf…

备战蓝桥杯---树形DP基础3

上一次我们讲了二叉苹果树,现在我们加一点难度,从二叉变成了多叉苹果树。 这样子我们就不可以直接按照上次的方法DP,我们其实可以发现,我们可以用类似背包的思想求解,这就是所谓的树上背包。 我们先加进第一个儿子来…

骨传导耳机哪个牌子好?六大选购窍门,帮你甩掉坑货!

很多用户对骨传导耳机的理解存在偏差,认为只要选择价格贵的、热度高的产品就能万事大吉,而实际却不是如此,要知道,随着骨传导耳机逐渐成为热门款式,目前的市场上的骨传导耳机品牌也变得五花八门,这其中就包…

springboot230基于Spring Boot在线远程考试系统的设计与实现

在线远程考试系统设计与实现 摘 要 信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到…

数据库学习案例20240304-mysql数据库案例总结(碎片,统计信息)

1 表中的碎片 在InnoDB中删除行的时候,这些行只是被标记为“已删除”,而不是真正从物理存储上进行了删除,因而存储空间也没有真正被释放回收。InnoDB的Purge线程会异步地来清理这些没用的索引键和行。但是依然没有把这些释放出来的空间还给操…

ES核心概念(45-48)(56-62)(101-103)

ES集群 ES集群(Cluster)包含多个节点(服务器),整体提供服务 核心概念 索引Index:类似于mysql中的表 映射Mapping:数据的结构信息 文档:相当于表中的一条记录 分片: 将数据分成多片…

4、pod运维replicationCtroller、replicaSet、DeamonSet、Job、Cronjob

1、kubenetes 会自动重新运行失败的pod应用 pod运行失败,会自动重启,但是节点失败,pod会被移除, 除非配置了relicationController来管理资源 2、保持pod的健康存活 配置探针,发送http请求 3、查看前一个pod的运行日…

字节扣子 Bot | Bot 介绍

一、什么是 coze ? Coze 是一个由字节跳动开发的一个用于开发新一代 AI Chat Bot 的应用编辑平台。在这个平台上,即使是没有编程基础的小白,也能快速创建各种各样的聊天机器人,并将创建的机器人发布到多个社交平台和通讯软件上。 …

vue3 使用实现签到活动demo静态布局详解

文章目录 1. 实现效果2. 签到设置7天布局2.1 实现代码 3 签到设置15天布局3.1 思路分享 4 完整demo代码5. 总结 1. 实现效果 实现一个签到活动的h5页面布局,需求如下 签到活动天数可配置,可配置7天,15天,30天等默认天数要求展示2行…

利用Python自动化日常任务

在快节奏的现代生活中,时间就是一切。幸运的是,Python提供了一系列强大的库和工具,可以帮助我们自动化那些乏味且重复的任务,从而释放我们的时间,让我们可以专注于更有创造性和有意义的工作。下面,我们将探…

MySQL的初学者教程—Navicat的基本操作方法

MySQL的初学者教程—Navicat的基本操作方法 1、运行Navicat 双击桌面的Navicat 12 for MySQL。 2、新建MySQL连接 点击【测试连接】。 zyyMySQL的连接创建成功! 3、新建数据库 4、新建表 点击【保存】 表【usermanage】建好了。 点【usermanage】的鼠标右键&#…

chatgpt-next-web搭建教程,超低成本部署属于自己的ChatGPT

随着AI的应用变广,各类AI程序已逐渐普及,尤其是在一些日常办公、学习等与撰写/翻译文稿密切相关的场景,大家都希望找到一个适合自己的稳定可靠的ChatGPT软件来使用。 ChatGPT-Next-Web就是一个很好的选择。它是一个Github上超人气的免费开源…

06、MongoDB -- MongoDB 基本用法(删除文档、查询文档、查询运算符)

目录 MongoDB 基本用法演示前提:登录单机模式的 mongodb 服务器命令登录【admin】数据库的 mongodb 客户端命令登录【test】数据库的 mongodb 客户端命令 删除文档语法格式两个变体版本:1、remove:根据【name】字段删除一条文档2、deleteOne&…

pyqt程序打包成exe最新版保姆级教程

运行环境:win10、pycharm、pyqt5、pyinstaller 要求:将下面软件转换为可执行的exe文件,发送给别人使用。 操作步骤: 1、main.py为我们要转换的代码文件,icon中放着我们exe程序的图标(注意:图标…