【Javascript】不满意网上的Token无感知刷新方案,自己琢磨了个感觉还不错~

​前言

大家设想一下,如果有一个超级大的表单页面,用户好不容易填完了,然后点击提交,这个时候请求接口居然返回401,然后跳转到登录页。。。那用户心里肯定是一万个草泥马~~~
所以项目里实现token无感知刷新是很有必要的~

在这里插入图片描述

这几天在项目中实践了一套token无感知刷新的方案,其实也有看了一下网上那些解决方案,也知道这类的方案已经烂大街了,但是感觉不太符合我想要的效果,主要体现在以下几个方面:

  • 逻辑都写拦截器里,耦合性高,不太好
  • 接口重试的机制做的,不太好
  • 接口并发时的逻辑处理做的,不太好

我为什么不想要让这套逻辑耦合在拦截器里呢?

一方面是因为,我想要写一套代码,在很多的项目里面可以用,把代码侵入性降到最低
另一方面,因为我觉得token无感知刷新涉及到了接口重发,我理解是接口维度的,不应该把这套逻辑放在响应拦截器里去做。。我理解重发之后就是一个独立的新接口请求了,不想让两个独立的接口请求相互有交集~

所以我还是决定自己写一套方案,并分享给大家,希望大家可以提提意见啥的,共同进步~
温馨提示:需要有一些Promise基础

思路

其实大体思路是一样的,只不过实现可能有差别~就是需要有两个 token

  • accessToken:普通 token,时效短
  • refreshToken:刷新 token,时效长

accessToken用来充当接口请求的令牌,当accessToken过期时效的时候,会使用refreshToken去请求后端,重新获取一个有效的accessToken,然后让接口重新发起请求,从而达到用户无感知 token 刷新的效果
具体分为几步:
1、登录时,拿到accessTokenrefreshToken,并存起来
2、请求接口时,带着accessToken去请求
3、如果accessToken过期失效了,后端会返回401
4、401时,前端会使用refreshToken去请求后端再给一个有效的accessToken
5、重新拿到有效的accessToken后,将刚刚的请求重新发起
6、重复1/2/3/4/5
在这里插入图片描述

有人会问:那如果refreshToken也过期了呢?
好问题,如果refreshToken也过期了,那就真的过期了,就只能乖乖跳转到登录页了~

Nodejs 模拟 token

为了方便给大家演示,我用 express 模拟了后端的 token 缓存与获取,代码如下图(文末有完整代码)由于这里只是演示作用,所以我设置了

  • accessToken:10秒失效
  • refreshToken:30秒失效
const express = require("express");
const server = express();
// 启用 CORS
server.use((req, res, next) => {res.setHeader("Access-Control-ALlow-Origin", "*"); // 允许来自任何源的请求res.setHeader("Access-Control-ALLow-Methods", "GET,POST,PUT, DELETE"); // 允许的HTTP 方法res.setHeader("Access-Control-Allow-Headers", "Content-Type,Authorization"); // 允许的请求头next();
});
// 普通 token
let accessToken = null;
//刷新 token
let refreshToken = null;
// 普通 token,10s过期
const ACCESS_EXPIRES = 10 * 1000;
//刷新 token,50s辻期
const REFRESH_EXPIRES = 30 * 1000;
// 模拟服务端缓存 accessToken
const getAccessToken = (() => {let timer = null;return () => {if (timer) return accessToken;accessToken = `accessToken ${new Date().getTime()}`;timer = setTimeout(() => {timer = null;accessToken = null;}, ACCESS_EXPIRES);return accessToken;};
})();
// 模拟服务端缓存 refreshToken
const getRefreshToken = (() => {let timer = null;return () => {if (timer) return refreshToken;refreshToken = `refreshToken ${new Date() - getTime()}`;timer = setTimeout(() => {timer = null;refreshToken = null;}, REFRESH_EXPIRES);return refreshToken;};
})();
// 登录接口
server.post("/login", (req, res) => {// 将两个token 发到前端res.send({accessToken: getAccessToken(),refreshToken: getRefreshToken(),});
});
// 测试接口
server.get("/test", (req, res) => {const _accessToken = req.headers.authorization;if (_accessToken !== accessToken) {return res.status(401).json({ error: "Unauthorized" });}res.send({name: "test",});// 荻取token的接口server.get("/token", (req, res) => {const _refreshToken = req.headers.authorization;// refreshToken 过期那就是真的过期了if (_refreshToken !== refreshToken) {return res.status(401).json({ error: "Unauthorized" });}res.send({ accessToken: getAccessToken() });});
});server.listen(8888, () => {console.log("成功启动端口:8888");
});

前端模拟请求

先创建一个constants.ts来储存一些常量(文末有完整源码)

// constants.ts
// LocalStorage 存储的 key
export const LOCAL ACCESS KEY ='access_token';
export const LOCAL REFRESH KEY = 'refresh token';
// 请求的baseUrl
export const BASE URL = 'http://localhost:8888';// 路径
export const LOGIN_URL = '/login';
export const TEST_URL = '/test';
export const FETCH TOKEN URL = '/token';

接着我们需要对axios进行简单封装,并且模拟:

  • 模拟登录之后获取双 token 并存储
  • 模拟10s后accessToken失效了
  • 模拟30s后refreshToken失效了

理想状态下,用户无感知的话,那么控制台应该会打印

test-1
test-2
test-3
test-4

打印test-1、test-2比较好理解
打印test-3、test-4是因为虽然accessToken失效了,但我用refreshToken去重新获取有效的accessToken,然后重新发起3、4的请求,所以会照常打印test-3、test-4

不会打印test-5、test-6是因为此时refreshToken已经过期了,所以这个时候双token都过期了,任何请求都不会成功了~
但是我们看到现状是,只打印了test-1、test-2
在这里插入图片描述

不急,我们接下来就实现token无感知刷新这个功能~

实现

我的期望是封装一个class,这个类提供了以下几个功能:

  • 1、能带着refreshToken去获取新accessToken
  • 2、不跟axios的拦截器耦合
  • 3、当获取到新accessToken时,可以重新发起刚刚失败了的请求,无缝衔接,达到无感知的效果
  • 4、当有多个请求并发时,要做好拦截,不要让多次去获取accessToken

针对这几点我做了以下这些事情:

  • 1、类提供一个方法,可以发起请求,带着refreshToken去获取新accessToken
  • 2、提供一个wrapper高阶函数,对每一个请求进行额外处理
  • 3/4、维护一个promise,这个promise只有在请求到新accessToken时才会fulfilled

并且这个类还需要支持配置化,能传入以下参数:
baseUrl:基础url
url:请求新accessToken的url
getRefreshToken:获取refreshToken的函数
unauthorizedCode:无权限的状态码,默认 401
onSuccess:获取新accessToken成功后的回调
onError:获取新accessToken失败后的回调

最后实现了最终效果,打印出了这四个文本
在这里插入图片描述

完整代码

constants.ts

// constants.ts// localStorage 存储的 key
export const LOCAL_ACCESS_KEY = 'access_token';
export const LOCAL_REFRESH_KEY = 'refresh_token';// 请求的baseUrl
export const BASE_URL = 'http://localhost:8888';
// 路径
export const LOGIN_URL = '/login';
export const TEST_URL = '/test';
export const FETCH_TOKEN_URL = '/token';

retry.ts

// retry.tsimport { Axios } from 'axios';export class AxiosRetry {// 维护一个promiseprivate fetchNewTokenPromise: Promise<any> | null = null;// 一些必须的配置private baseUrl: string;private url: string;private getRefreshToken: () => string | null;private unauthorizedCode: string | number;private onSuccess: (res: any) => any;private onError: () => any;constructor({baseUrl,url,getRefreshToken,unauthorizedCode = 401,onSuccess,onError,}: {baseUrl: string;url: string;getRefreshToken: () => string | null;unauthorizedCode?: number | string;onSuccess: (res: any) => any;onError: () => any;}) {this.baseUrl = baseUrl;this.url = url;this.getRefreshToken = getRefreshToken;this.unauthorizedCode = unauthorizedCode;this.onSuccess = onSuccess;this.onError = onError;}requestWrapper<T>(request: () => Promise<T>): Promise<T> {return new Promise((resolve, reject) => {// 先把请求函数保存下来const requestFn = request;return request().then(resolve).catch(err => {if (err?.status === this.unauthorizedCode && !(err?.config?.url === this.url)) {if (!this.fetchNewTokenPromise) {this.fetchNewTokenPromise = this.fetchNewToken();}this.fetchNewTokenPromise.then(() => {// 获取token成功后,重新执行请求requestFn().then(resolve).catch(reject);}).finally(() => {// 置空this.fetchNewTokenPromise = null;});} else {reject(err);}});});}// 获取token的函数fetchNewToken() {return new Axios({baseURL: this.baseUrl,}).get(this.url, {headers: {Authorization: this.getRefreshToken(),},}).then(this.onSuccess).catch(() => {this.onError();return Promise.reject();});}
}

index.ts

import { Axios } from 'axios';
import {LOCAL_ACCESS_KEY,LOCAL_REFRESH_KEY,BASE_URL,LOGIN_URL,TEST_URL,FETCH_TOKEN_URL,
} from './constants';
import { AxiosRetry } from './retry';const axios = new Axios({baseURL: 'http://localhost:8888',
});axios.interceptors.request.use(config => {const url = config.url;if (url !== 'login') {config.headers.Authorization = localStorage.getItem(LOCAL_ACCESS_KEY);}return config;
});axios.interceptors.response.use(res => {if (res.status !== 200) {return Promise.reject(res);}return JSON.parse(res.data);
});const axiosRetry = new AxiosRetry({baseUrl: BASE_URL,url: FETCH_TOKEN_URL,unauthorizedCode: 401,getRefreshToken: () => localStorage.getItem(LOCAL_REFRESH_KEY),onSuccess: res => {const accessToken = JSON.parse(res.data).accessToken;localStorage.setItem(LOCAL_ACCESS_KEY, accessToken);},onError: () => {console.log('refreshToken 过期了,乖乖去登录页');},
});const get = (url, options?) => {return axiosRetry.requestWrapper(() => axios.get(url, options));
};const post = (url, options?) => {return axiosRetry.requestWrapper(() => axios.post(url, options));
};const login = (): any => {return post(LOGIN_URL);
};
const test = (): any => {return get(TEST_URL);
};// 模拟页面函数
const doing = async () => {// 模拟登录const loginRes = await login();localStorage.setItem(LOCAL_ACCESS_KEY, loginRes.accessToken);localStorage.setItem(LOCAL_REFRESH_KEY, loginRes.refreshToken);// 模拟10s内请求test().then(res => console.log(`${res.name}-1`));test().then(res => console.log(`${res.name}-2`));// 模拟10s后请求,accessToken失效setTimeout(() => {test().then(res => console.log(`${res.name}-3`));test().then(res => console.log(`${res.name}-4`));}, 10000);// 模拟30s后请求,refreshToken失效setTimeout(() => {test().then(res => console.log(`${res.name}-5`));test().then(res => console.log(`${res.name}-6`));}, 30000);
};// 执行函数
doing();

结语

在前面的Token无感知刷新方案中,我们详细介绍了该方案的设计思路、实现方法和注意事项。通过这种方法,我们可以在不影响用户使用体验的情况下,实现Token的自动刷新,从而保障了系统的安全性和稳定性。
当然,该方案也存在一些局限性。例如,对于一些需要手动输入Token的操作,该方案无法实现自动刷新。此外,如果用户在短时间内连续进行多次登录操作,该方案也可能会引发一些问题。
针对这些问题,我们可以采取一些额外的措施来完善该方案。例如,对于需要手动输入Token的操作,我们可以在登录时自动生成一个Token并将其保存到本地或数据库中,然后在需要使用Token的操作时自动读取并使用该Token。此外,我们还可以在用户登录时对Token进行校验,如果发现Token已经过期或被篡改,则提示用户重新登录并生成新的Token。
总的来说,Token无感知刷新方案是一种非常实用的技术手段,可以有效保障系统的安全性和稳定性。当然,我们也需要不断对其进行改进和完善,以适应不断变化的应用场景和需求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/169935.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vscode Coder Runner 运行C++

vscode Coder Runner 运行C++

1. 设置Code Runner 2. 防止输入读不到&#xff0c;把在终端运行勾上。 3. 设置minw/bin的环境变量 安装mingw教程&#xff1a;https://blog.csdn.net/fancy_male/article/details/133992000 4. 见图
阅读更多...
ubuntu18.04双系统安装(2023最新最详细)以及解决重启后发现进不了Ubuntu问题

ubuntu18.04双系统安装(2023最新最详细)以及解决重启后发现进不了Ubuntu问题

目录 一.简介 二.安装教程 1.首先确定了电脑的引导格式是UEFIGPT还是BIOSMBR 2. 使用Windows磁盘管理划分足够的磁盘空间 3. 开始安装 三.重启后发现自动进入WIN10系统了&#xff0c;进不了Ubuntu&#xff1f; 一.简介 Linux是一种自由和开放源代码的操作系统内核&#x…
阅读更多...
Deno 的配置文件、框架,标准库

Deno 的配置文件、框架,标准库

目录 1、配置文件 imports 和scopes tasks lint fmt lock nodeModulesDir npmRegistry compilerOptions 一个全的示例 2、Web框架 2.1 Deno 原生框架 Fresh Aleph Ultra Lume Oak 3、标准库 3.1 版本和稳定性 1、配置文件 Deno支持一个配置文件&#xff0c…
阅读更多...
MR混合现实情景实训教学系统在旅游管理专业中的应用

MR混合现实情景实训教学系统在旅游管理专业中的应用

在旅游管理专业中&#xff0c;MR混合现实情景实训教学系统的主要应用包括但不限于以下几个方面&#xff1a; 1. 实地考察的替代&#xff1a;对于一些无法实地考察的景点或设施&#xff0c;学生可以通过MR系统进行虚拟参观&#xff0c;从而了解其实际情况。这不仅可以减少时间和…
阅读更多...
【C++】STL容器——【深浅拷贝】与【写时拷贝】对比详解(拷贝构造)(10)

【C++】STL容器——【深浅拷贝】与【写时拷贝】对比详解(拷贝构造)(10)

前言 大家好吖&#xff0c;欢迎来到 YY 滴C系列 &#xff0c;热烈欢迎&#xff01; 本章主要内容面向接触过C的老铁 主要内容含&#xff1a; 目录 一.深浅拷贝浅拷贝&#xff1a;深拷贝&#xff1a; 二.写时拷贝 一.深浅拷贝 (默认拷贝构造运用 引用 防止死递归的后遗症&#…
阅读更多...
读高性能MySQL(第4版)笔记19_云端和合规性

读高性能MySQL(第4版)笔记19_云端和合规性

1. 如何构建数据库环境 1.1. 托管MySQL 1.2. VM上构建 1.3. 天下没有免费的午餐&#xff0c;每一个选择都伴随着一系列的权衡 2. 托管MySQL 2.1. 服务商提供了一个可访问的数据库设置程序&#xff0c;而不需要用户深入了解MySQL的具体细节 2.2. 使用托管MySQL将缺乏很多的…
阅读更多...
小程序设计基本微信小程序的校园生活助手系统

小程序设计基本微信小程序的校园生活助手系统

项目介绍 通篇文章的撰写基础是实际的应用需要&#xff0c;然后在架构系统之前全面复习大学所修习的相关知识以及网络提供的技术应用教程&#xff0c;以校园生活助手系统的实际应用需要出发&#xff0c;架构系统来改善现校园生活助手系统工作流程繁琐等问题。不仅如此以操作者…
阅读更多...
Python手搓C4.5决策树+Azure Adult数据集分析

Python手搓C4.5决策树+Azure Adult数据集分析

前言 课上的实验 由于不想被抄袭&#xff0c;所以暂时不放完整代码 Adult数据集可以在Azure官网上找到 Azure 开放数据集中的数据集 - Azure Open Datasets | Microsoft Learn 数据集预处理 删除难以处理的权重属性fnlwgt与意义重复属性educationNum去除重复行与空行删除…
阅读更多...
百度文心一言4.0——使用及API测试

百度文心一言4.0——使用及API测试

登录百度智能云&#xff1a;百度智能云 文心一言4.0使用 开通付费&#xff1a; 创建应用&#xff1a; 自行创建应用名称&#xff1a; 对话测试&#xff1a; API测试 ERNIE-Bot-4 API&#xff1a;ERNIE-Bot-4 打开链接查看自己的API Key&#xff0c;Secret Key。 可参…
阅读更多...
Ivs+keepalived:高可用集群

Ivs+keepalived:高可用集群

Ivskeepalived:高可用集群 keepalived为lvs应运而生的高可用服务。lvs的调度器无法做高可用&#xff0c;keepalived这个软件就是为了实现调度器的高可用。 注意&#xff1a;keepalived不是专门为lvs集群服务的&#xff0c;也可以做其他代理服务器的高可用。 lvs的高可用集群&a…
阅读更多...
CSS 两栏布局

CSS 两栏布局

目录 CSS两栏布局&#xff08;左列定宽&#xff0c;右列自适应宽&#xff09; 方法一&#xff1a;浮动margin 方法二&#xff1a;定位margin 方法三&#xff1a;浮动BFC 方法四&#xff1a;Flex布局 方法五&#xff1a;able布局 CSS两栏布局&#xff08;左列不定宽&#…
阅读更多...
模拟计算器编程教程,中文编程开发语言工具编程实例

模拟计算器编程教程,中文编程开发语言工具编程实例

模拟计算器编程教程&#xff0c;中文编程开发语言工具编程实例 中文编程系统化教程&#xff0c;不需英语基础。学习链接 ​​​​​​https://edu.csdn.net/course/detail/39036 课程安排&#xff1a;初级1 1 初级概述 2 熟悉构件取值赋值 3 折叠式菜单滑动面板编程 4 自定…
阅读更多...
万宾科技智能井盖传感器怎么使用?

万宾科技智能井盖传感器怎么使用?

时代在进步&#xff0c;科技在更新&#xff0c;人们身边的万事万物都在随着时代的脚步不断的前进。各种各样高科技技术在城市基础设施建设的过程中得到应用&#xff0c;很多智能产品不仅施工方便&#xff0c;而且可以向政府部门提供精准的数据&#xff0c;提高了相关管理人员的…
阅读更多...
Django 地址接口开发

Django 地址接口开发

应用 Mixin 混合类进行收货地址接口开发 python ../manage.py startapp address继承了mixins扩展类&#xff0c;进到里面可以稍微看下源码 该方法帮我们实现了获取验证及保存的功能 address/views from rest_framework.generics import GenericAPIView from rest_framewo…
阅读更多...
STM32:GPIO功能描述和工作方式

STM32:GPIO功能描述和工作方式

一、STM32控制原理概要 IO端口位的基本结构 在STM32有特定功能的内存单元&#xff0c;即"寄存器"。寄存器是程序与硬件电路通信的桥梁。寄存器按照每32位二进制0/1数据为一组。存储着芯片特定电路的相关信息。我们就是通过程序对寄存器中的数据进行修改&#xff0c;…
阅读更多...
pycharm转移缓存目录

pycharm转移缓存目录

原来的缓存目录为C:\Users\86176\AppData\Local\JetBrains&#xff0c;各种配置文件、缓存文件随着pycharm的使用堆积在这里&#xff0c;导致C盘逐渐爆满。 因此需要将缓存目录转移至D盘。首先需要了解缓存目录的知识。 PyCharm 和其他 JetBrains 的 IDE 通常会有两个关键的目…
阅读更多...
QSPI介绍

QSPI介绍

0 Preface/Foreword 1 QSPI介绍 硬件连接框图如下&#xff1a; QSPI接口的Display data format&#xff08;显示数据格式&#xff09; 包含以下几种&#xff1a; 16.7M colors RGB 8,8,8-bits input262K colors, RGB 6,6,6-bits input65K colors, RGB 5,6,5-bits input256 c…
阅读更多...
Mac运行Docker报错

Mac运行Docker报错

Mac运行Docker报错 &#x1f4d4; 千寻简笔记介绍 千寻简笔记已开源&#xff0c;Gitee与GitHub搜索chihiro-notes&#xff0c;包含笔记源文件.md&#xff0c;以及PDF版本方便阅读&#xff0c;且是用了精美主题&#xff0c;阅读体验更佳&#xff0c;如果文章对你有帮助请帮我点…
阅读更多...
LabVIEW应用开发——控件的使用(四)

LabVIEW应用开发——控件的使用(四)

接上文&#xff0c;这篇介绍时间控件。 LabVIEW应用开发——控件的使用&#xff08;三&#xff09; 1、时间控件Time Stamp control 在日常软件开发场景中&#xff0c;时间也是一种常用的控件&#xff0c;用于表达当前时间的显示、对下设置时间、时间同步等等场景。LabVIEW专门…
阅读更多...
Python实战小项目分享

Python实战小项目分享

Python实战小项目包括网络爬虫、数据分析和可视化、文本处理、图像处理、聊天机器人、任务管理工具、游戏开发和网络服务器等。这些项目提供了实际应用场景和问题解决思路&#xff0c;可以选择感兴趣的项目进行实践&#xff0c;加深对Python编程的理解和掌握。在实践过程中&…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023