Token无感知刷新是一种常见的技术,就是在用户无感知的情况下自动处理Token过期的问题,避免用户因Token过期而被迫重新登录。以下是实现Token无感知刷新的主要步骤和考虑因素:
Token生成:
在用户登录成功后,后端会生成两个Token:一个AccessToken(用于访问受保护的API,过期时间较短)和一个RefreshToken(用于获取新的AccessToken,过期时间较长)。
可以使用JWT(JSON Web Tokens)或其他安全机制来生成和验证Token。
Token存储:
将AccessToken和RefreshToken存储在客户端的本地缓存中,如localStorage或sessionStorage。
确保RefreshToken的安全性,避免在客户端以明文形式暴露。
请求拦截器:
在发送请求之前,通过请求拦截器检查AccessToken是否存在并未过期。
如果AccessToken存在且未过期,则将其添加到请求的Authorization头部。
如果AccessToken不存在或已过期,则尝试使用RefreshToken获取新的AccessToken。
响应拦截器:
在接收到响应后,通过响应拦截器检查响应状态码。
如果状态码为401(未授权),则表明AccessToken已过期,此时应使用RefreshToken尝试获取新的AccessToken。
如果状态码为200(成功)或其他有效状态码,则直接处理响应数据。
检查Token是否过期:
可以在请求拦截器中检查AccessToken的过期时间,但这需要后端提供Token的过期时间字段,且存在本地时间被篡改的风险。
更推荐的做法是在响应拦截器中根据状态码(如401)来判断AccessToken是否过期。
使用RefreshToken获取新Token:
当检测到AccessToken过期时,使用RefreshToken向认证服务器发送请求以获取新的AccessToken和(可选的)新的RefreshToken。
将新获取的AccessToken保存到本地缓存,并替换掉旧的AccessToken。
重新发送请求:
使用新的AccessToken重新发送之前因Token过期而失败的请求。
这可能需要将失败的请求暂存起来,并在获取到新Token后依次重新发送。
设置一个标志位(如isRefreshing)来指示当前是否正在刷新Token。
如果在刷新Token的过程中又收到了需要刷新Token的请求,则可以直接使用已获取的(或正在获取的)新Token,而不是再次发起刷新Token的请求。
前端实现Token无感知刷新的过程主要涉及到对HTTP请求的拦截、Token状态的判断、Token的刷新以及请求的重发等步骤。以下是一个详细的实现流程:
用户登录:
用户输入用户名和密码进行登录。
登录成功后,后端服务器会生成一个AccessToken(短期Token)和一个RefreshToken(长期Token),并将它们返回给前端。
存储Token:
前端将AccessToken和RefreshToken存储在浏览器的本地缓存中,如localStorage或sessionStorage。由于localStorage具有持久性,更适合存储RefreshToken;而sessionStorage在页面会话结束时会被清除,适合存储AccessToken(但考虑到需要跨会话保持登录状态,通常也会选择localStorage)。
创建Axios实例:
使用Axios等HTTP客户端库创建一个Axios实例,并配置基础URL、请求超时时间等。
设置请求拦截器:
在发送请求之前,通过请求拦截器检查localStorage中是否存储了有效的AccessToken。
如果存在,则将AccessToken添加到请求的Authorization头部。
设置响应拦截器:
在接收到响应后,通过响应拦截器检查响应状态码。
如果状态码为401(未授权),则表明AccessToken已过期,此时需要尝试使用RefreshToken刷新Token。
检查Token是否过期:
响应拦截器中,根据状态码401判断AccessToken是否过期。注意,更准确的做法是在响应体中包含Token过期的具体信息,但这里以状态码为例。
使用RefreshToken获取新Token:
发起一个POST请求到认证服务器,将RefreshToken作为请求体或请求头发送给后端。
后端验证RefreshToken的有效性,并返回一个新的AccessToken(和可选的新的RefreshToken)。
前端接收到新的AccessToken后,将其保存到localStorage中,并替换掉旧的AccessToken。
重新发送请求:
使用新的AccessToken重新发送之前因Token过期而失败的请求。
这可以通过将失败的请求暂存起来,并在获取到新Token后依次重新发送来实现。
在刷新Token的过程中,设置一个标志位(如isRefreshing)来指示当前是否正在刷新Token。
如果在刷新Token的过程中又收到了需要刷新Token的请求,则可以直接使用已获取的(或正在获取的)新Token,而不是再次发起刷新Token的请求。
由于篇幅限制,这里只提供一个简化的代码示例框架:
importaxiosfrom'axios';// 创建axios实例const service=axios.create({
baseURL:'http://your-api-url',// API的base_urltimeout:5000// 请求超时时间});// 请求拦截器service.interceptors.request.use(config=>{// 从localStorage获取token,并设置到请求头中const token=localStorage.getItem('token');if(token){
config.headers['Authorization']=`Bearer ${token}`;}returnconfig;},error=>{// 处理请求错误console.error('请求错误:',error);// for debugPromise.reject(error);});// 响应拦截器service.interceptors.response.use(response=>{// 对响应数据做点什么returnresponse.data;},error=>{// 处理响应错误if(error.response&&error.response.status===401){// 尝试使用RefreshToken刷新TokenreturnrefreshToken().then(newToken=>{// 设置新的Token并重新发送请求localStorage.setItem('token',newToken);// 这里需要实现请求重发的逻辑,可以通过修改Axios实例的配置或使用其他方式}).catch(err=>{// 刷新Token失败,可能需要用户重新登录console.error('刷新Token失败:',err);});}returnPromise.reject(error);});// 刷新Token的函数(需要实现)functionrefreshToken(){// 发送请求到认证服务器获取新的Token// 返回Promise,解析为新的Token}
上述代码示例是一个简化的框架,实际实现时需要根据具体业务需求和后端API进行相应的调整和完善。特别是刷新Token的函数