Token无感知刷新

最新推荐文章于 2025-06-28 10:41:09 发布
最新推荐文章于 2025-06-28 10:41:09 发布
阅读量539 收藏 9
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 前端小知识 文章标签: 前端 javascript vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36877763/article/details/136692670
本文介绍了在前后端分离应用中,如何通过无感知刷新Token解决因token有效期导致的认证问题,包括使用axios进行请求、处理401状态、定时刷新以及考虑RefreshToken的安全性。

前言

在前后端分离的应用中,使用token进行交互验证是一种比较常见的方式。但是,由于token的有效期限制,需要不断地刷新token,否则会导致用户认证失败。

栗子

可以幻想一下,你在一个应用中,填写了很多个表单,最后提交的时候,401认证失败,这个时候你心里肯定一万个....所以为了解决这个问题,给用户更好的体验,本文介绍无感知刷新token的实现。

token验证的原理

在web应用中,常见的token认证方式有基于token和基于cookie的认证。基于token的认证方式是,将认证信息每次放在请求头中,在每次发起请求时,将token发给服务端认证,而基于cookie的认证方式是,客户端本地存储的cookie文件来记录用户的操作状态在随后的访问请求中,客户端浏览器会检索与用户请求资源相匹配的Cookie,并将其提交给Web服务器进行验证。如果Cookie合法,则允许用户访问请求的资源,反之则拒绝用户的访问请求。

什么是无感知刷新token

无感知刷新Token是指在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。在实现无感知刷新token的时候需要考虑以下几点:

  1. 如何判断token是否过期?
  2. 如何在token过期时,自动使用Refresh Token获取新的Access Token?
  3. Refresh Token安全性?

代码实现-第一步

使用axios作为客户端请求库

import axios from 'axios';  
// 设置 tokens 到 localStorage 或其他持久化存储中  
function setTokens(data) {  
    localStorage.setItem('access_token', data.access_token);  
    localStorage.setItem('refresh_token', data.refresh_token);  
}  
// 假设 login 是用户登录函数,从后端获取 tokens  
async function login() {  
    const response = await axios.post('/login', { username: 'USERNAME', password: 'PASSWORD' });  
    setTokens(response.data);  
}

代码实现-第二步

设置请求头,添加token

axios.defaults.headers.common['Authorization'] = `Bearer ${accessToken}`;

有不明白axios基本设置的同学,可以查看axios官方文档

代码实现-第三步

拦截401 Authorization状态

// 当请求失败并返回 401 时,尝试使用 refresh token 获取新的 access token  
axios.interceptors.response.use(undefined, (error) => {  
    if (error.response && error.response.status === 401 && localStorage.getItem('refresh_token')) {  
        return axios.post('/refresh_token', { refresh_token: localStorage.getItem('refresh_token') })  
            .then((response) => {  
                setTokens(response.data);  
                error.config.headers['Authorization'] = 'Bearer ' + response.data.access_token; // 用新的token发送请求  
                return axios(error.config); // 让请求再次发送  
            });  
    } else {  
        return Promise.reject(error); // 否则,返回原始错误信息  
    }  
});

代码实现-第四步

设置定时刷新token

为了避免Access Token过期时间太长,可以使用定时器定时刷新token,在每次刷新后重新设置Access TokenRefresh Token

function refreshToken() {
  const refreshToken = localStorage.getItem('refresh_token');
  axios.post('/refresh_token', { refresh_token: localStorage.getItem('refresh_token'))
    .then(response => {
      setTokens(response.data);
      axios.defaults.headers.common['Authorization'] = `Bearer ${access_token}`;
    })
    .catch(error => {
      console.error(error);
    });
}

setInterval(refreshToken, 5 * 60 * 1000); // 每5分钟刷新Token

安全性考虑

在实现无感知刷新Token的过程中,需要考虑到Refresh Token的安全性问题。因为Refresh Token具有长期的有效期限,一旦Refresh Token被泄露,攻击者就可以使用Refresh Token获取新的Access Token,从而绕过认证机制,访问受保护的API。

  1. 限制访问次数
  2. 请求加签(目前团队中大佬已经实现加签)
  3. 加密

后续优化

在实现过程中,会发现该实现方式大部分都是在请求拦截和相应拦截中设置的,这样带来的问题就是,耦合性高,接口重试的机制不太好。另一方面,我觉得token无感知刷新涉及到了接口重发,我理解的是接口维度的。所以在后续会考虑封装一个class类来实现。

登录效验token无感知刷新
m0_68271787的博客
04-27 546
在前后端分离的应用中,使用token进行交互验证是一种比较常见的方式。但是,由于token的有效期限制,需要不断地刷新token,否则会导致用户认证失败。无感知刷新Token是指在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token无感知刷新,用户可以无缝继续使用应用。如何判断token是否过期?如何在token过期时,自动使用Refresh Token获取新的Access Token?Refresh Token安全性?
用 Axios 封装一个双 token 无感刷新
猿特佳
06-06 2109
为了保证安全性,后端设置的Token不可能长期有效,过了一段时间Token就会失效。而发送网络请求的过程又是需要携带Token的,一旦Token失效,用户就要重新登陆,这样用户可能需要频繁登录,体验不好。为了解决这个问题,采取双Token(Access_Token,Refresh_Token)无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。
无感刷新 token
阿城的博客
11-03 1812
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
Token无感知刷新,让流畅成为常态
chen520的博客
08-03 1525
Token无感知刷新机制允许系统在访问令牌即将到期时,无需用户介入,自动使用刷新令牌获取新的访问令牌。这样,用户的操作不会因认证过期而中断,提升了整体的用户体验和应用的可靠性。通过技术手段如请求拦截、状态监测和后台同步操作,Token无感知刷新确保了用户会话的持久性和安全性,成为现代Web开发中不可或缺的一个环节。:Token无感知刷新可能会导致缓存失效,因为每次刷新令牌后,之前的缓存数据可能不再有效。例如,可以在客户端缓存部分数据,或者使用本地缓存来存储令牌信息,减少对服务器的访问。
前端与 Spring Boot 后端无感 Token 刷新 - 从原理到全栈实践
最新发布
qq_42184486的博客
06-28 471
在我们前后端分离的应用中,常用的身份认证方案是基于JWT在保证安全性的同时,短生命周期的又会带来频繁登录的体验痛点。为了解决这个问题,我们引入并结合无感刷新机制,让客户端在过期时自动刷新,而无需用户手动重新登录,从而最大化提升用户体验。小伙伴们可以通过本文,快速掌握无感Token刷新的原理以及实现方式本文详细介绍了无感 Token 刷新的核心原理,以及前端Axios拦截器与后端的完整示例代码。通过双 Token、Redis 校验与拦截重试,你可以在保证安全性的同时,给用户带来无感登录过期刷新的体验。
前端实现token的无感刷新#记录
junsens的博客
04-07 4494
因为服务器的token一版不会设置太长,token过期后就需要重新登录,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token
前端如何实现token的无感刷新
xiangzhihong8的专栏
10-22 1129
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token的无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
token无感刷新
zjy_yue的博客
03-06 2236
由后端返回一个过期时间,前端在每次请求时,判断token的过期时间,如果快到过期时间了,就去调用刷新token的接口(不推荐 --- 如果本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败,不建议采用)服务端把用户信息放入 token 里,设置一个过期时间,客户端请求的时候通过 authorization 的 header 携带 token,服务端验证通过,就可以从中取到用户信息。token无感刷新,是为了解决频繁登录造成的用户体验问题,需要前端定时去刷新token,以帮助用户静默登录。
如何做到无感刷新token?
abcafdsgr123456789的博客
07-24 1165
如何做到无感刷新token?
Java如何做到无感知刷新token含示例代码(值得珍藏)
01-19
【Java实现无感知刷新Token详解】 在Web应用中,用户身份验证通常依赖于Token机制,如JWT(JSON Web Tokens)。然而,Token具有有效期限制,过期后可能导致用户被迫重新登录,影响用户体验。为了解决这一问题,我们...
一些token无感刷新的思考(附代码)
PleaseBeStrong的博客
05-21 2037
通过该定时器类,可以实现MyTimer.start 方法调用setInterval 间隔delay 时间步执行,判断当前的token过期时间是否小于我们设置的minCheck , 如果小于则使用refreshToken异步刷新token// delay为重复探查的间隔时间 , minCheck是判断token是否是快过期的// 如果存在token,判断是否过期// 假设有一个函数用于获取token的过期时间// 如果剩余时间小于等于5分钟,则异步发送刷新请求并更新token
请求时token过期自动刷新token操作
11-19
1.在开发过程中,我们都会接触到tokentoken的作用是什么呢?主要的作用就是为了安全,用户登陆时,服务器会随机生成一个有时效性的token,用户的每一次请求都需要携带上token,证明其请求的合法性,服务器会验证token,只有通过验证才会返回请求结果。 2.token失效时,现在的网站一般会做两种处理,一种是跳转到登陆页面让用户重新登陆获取新的token,另外一种就是当检测到请求失效时,网站自动去请求新的token,第二种方式在app保持登陆状态上面用得比较多。 3.下面进入主题,我们请求用的是axios,不管用何种请求方式,刷新token的原理都是一样的。 //封装了一个统一的请
无感知刷新Token
qiaozhongsheng的博客
07-08 672
axios的响应拦截
无感刷新token
baidu_39135917的博客
01-21 346
涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端:后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全,你可以用更好的方法。 前端:什么方法? 后端:给你刷新token的接口,定时去刷新token 前端:好,让我思考一下 ** 需求 ** 当token过期的时候,刷新token,前端需要做到无感刷新token,即刷token时要做到用户无感知,避免频繁登录。实现思路 方法一 后端返回过期时间,前端判断token过期时间,去调用刷新
token无感刷新,解决所有问题!
m0_65915285的博客
09-05 705
2、解决了多个接口重新请求的问题,如何保证接口的逻辑继续进行下去,例如获取后端数据后赋值的接口401,前端重新请求回token后重新请求一次这个接口,如何保证数据可以再次重新进行赋值的问题。token无感刷新,即token过期后,前端主动像后端发送请求返回新token替代旧token,在用户无感知的情况下可以一直保持登录状态的功能。1、如果同时多个接口返回401(token失效),应该如何处理。然后在响应拦截器拦截到401报错(与后端商定)
实现用户无感知刷新token
weixin_50255400的博客
07-30 2361
文章目录1. 需求2. 解决思路3. 代码实现4. 其他4.1 前置守卫4.2 token存储方式 1. 需求 前端登录后,后端返回token和refreshToken,当token过期时要求用refreshToken去获取新的token前端需要做到无感知请求刷新token。 2. 解决思路 当用户发起一个请求时,判断token是否已过期,若已过期则先调用refreshToken接口,拿到新的token后再继续执行之前的请求。 方法:在响应拦截器中对请求返回结果进行拦截,判断token 返回过期后,调用
五分钟带你详细了解无感刷新Token技术(Vue+express)
weixin_69810763的博客
09-12 3213
无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。这项技术适用于各种Web应用、移动应用和单页应用等场景,特别适用于需要长时间访问令牌和多终端登录的应用。通过无感刷新Token技术,我们能够在保证用户会话持续性的同时,提供更好的安全性和便利性。
若依无感知刷新token
01-17
### 若依框架中实现无感知刷新 Token 功能 #### 1. 登录接口设计 在用户成功登录之后,服务端会生成 `accessToken` 和 `refreshToken` 并将其返回给前端。这两个令牌用于不同的目的: - **AccessToken**: 用户访问受保护资源所需的凭证。 - **RefreshToken**: 当 `accessToken` 失效时用来换取新的 `accessToken`。 ```java // Java代码片段展示如何创建两个类型的token String accessToken = tokenService.createToken(loginUser); String refreshToken = tokenService.createRefreshToken(loginUser.getUsername()); ``` [^3] #### 2. 前端配置 Axios 拦截器 为了实现在每次 HTTP 请求前自动检查并更新过期的 `accessToken` ,可以在 Vue 应用程序中通过配置 axios 的请求/响应拦截器来完成此操作: ```javascript import axios from 'axios'; const instance = axios.create({ baseURL: process.env.VUE_APP_BASE_API, }); instance.interceptors.request.use( config => { const token = localStorage.getItem('access_token'); if (token) { config.headers['Authorization'] = `Bearer ${token}`; } return config; }, error => Promise.reject(error) ); let isRefreshing = false; // 控制并发防止多次刷新token let failedQueue = []; // 存储失败后的请求队列 function onAccessTokenFetched(access_token){ while(failedQueue.length > 0){ let promiseResolve = failedQueue.shift(); promiseResolve({ access_token }); } } instance.interceptors.response.use(undefined, async function (error) { const originalRequest = error.config; if (error?.response?.status === 401 && !originalRequest._retry) { if(isRefreshing){ return new Promise(function(resolve){ failedQueue.push(() => resolve(originalRequest)); }) } originalRequest._retry = true; try{ isRefreshing = true; const res = await refreshAccessToken(); // 自定义函数 if(res.status===200){ updateLocalStorageTokens(res.data.tokens); // 更新本地存储中的tokens originalRequest.headers.Authorization = "Bearer "+res.data.tokens.access_token; onAccessTokenFetched(res.data.tokens.access_token); return instance(originalRequest); }else{ logoutUser(); // 如果无法获得新token则登出用户 } }catch(err){ console.error("Failed to fetch a fresh access token", err); logoutUser(); }finally{ isRefreshing=false; } } return Promise.reject(error); }); ``` [^1][^2] 上述 JavaScript 代码展示了如何利用 Axios 拦截器机制,在遇到未授权错误(`401`)的情况下尝试使用 `refreshToken` 获取一个新的 `accessToken`, 同时也处理了多个并发请求的情况. #### 3. 定义 Refresh Access Token 函数 还需要编写一个专门负责向服务器发送请求以获取最新 `accessToken` 的辅助方法 `refreshAccessToken()` : ```javascript async function refreshAccessToken() { const refreshToken = localStorage.getItem('refresh_token'); const response = await axios.post('/auth/refresh', {}, { headers: {'Authorization': `Bearer ${refreshToken}`} }); return response; } ``` [^4] 该函数将携带当前有效的 `refreshToken` 发送到 `/auth/refresh` 接口,并期望接收到包含新鲜 `accessToken` 及其对应的新 `refreshToken` 的 JSON 对象作为回应.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LiuPing_Xie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值