前端,你还不会刷新token吗?

最新推荐文章于 2025-06-24 13:44:40 发布
原创 最新推荐文章于 2025-06-24 13:44:40 发布 · 737 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #学习

一、什么情况下需要做token刷新?

背景:单点登录使用token方案

目的:减轻服务器压力

双token的好处:具有权限控制的能力

在单点登录情况下,使用token做权限验证,可以减轻服务器的压力。使用两个token,accessToken和refreshToken。当使用accessToken访问 其他服务过期时,需要去CAS 服务刷新token,然后再去请求业务服务器。

控制refreshToken,就可以达到踢人下线等目的。

CAS (Central Authentication Service)中心授权服务

单点登录(SSO:Single Sign On

用户只需要登录一次,就可以在多个系统中进行访问。类似于在百度系网站中,你在百度网页登录了百度账号,旗下的贴吧,网盘等不需要再次登录,就可以使用。

二、如何实现token刷新?

画板

优化:使用队列优化未发出的请求

当已经出现未授权错误时,之后进入的请求都放入到一个队列中,当刷新token成功后,修改token,再发出,达到减轻服务器压力的目的

import { isAxiosError, type AxiosError, type AxiosResponse } from 'axios';
import type { FReqConfig, ReqItem, SetupRefreshTokenOptions } from './type';

export function useRefreshToken({
  refreshToken,
  unauthorizedErrorHandler,
  http,
  setToken,
  getIsUnauthorized
}: SetupRefreshTokenOptions) {
  
  let promise: Promise<any> | null = null;
  let isRefreshToken = false;

  /**
   * ## 收集401失败请求,如果没有正在刷新token,则刷新
   * @param resp
   */
  async function handleUnauthorized(resp: AxiosResponse | AxiosError) {

    const { status, config } = resp || {};
    let isUnauthorized = false;
    const isError = await isAxiosError(resp);
    
    if (isError) {
      isUnauthorized = status === 401;
    } else {
      if (typeof getIsUnauthorized == 'function') {
        isUnauthorized = getIsUnauthorized(resp);
      }
    }

    // 如果当前正在刷新中,则返回promise
    if (isUnauthorized) {
      if (!isRefreshToken) _refreshToken();
      
      const isSuccess = await promise;
      if (isSuccess) {
        return http.request(setToken(config!));
      } else {
        if (typeof unauthorizedErrorHandler === 'function') unauthorizedErrorHandler();

        return Promise.reject(resp);
      }
    }

    // 不是未授权错误
    if (isError) {
      return Promise.reject(resp);
    } else {
      return Promise.resolve(resp);
    }
  }

  /** ## 收集 401 后发起的请求,等token刷新后再执行 */
  let queue: ReqItem[] = [];

  /**
   * # 当刷新token时,收集将要执行的请求
   * @param config
   * @returns axiosConfig
   */
  function handleReqWhenUnauthorized(config: FReqConfig): Promise<FReqConfig> {
    if (isRefreshToken) {
      return new Promise((resolve) => {
        queue.push({ resolve, config, type: 'request' });
      });
    }

    return Promise.resolve(config);
  }

  /**
   * ## 处理刷新token的逻辑
   * 1. 所有的401 请求都使用一个 刷新token的 promise
   * 2. 刷新token成功后,重新执行因为401 而没有发起的请求
   */
  async function _refreshToken() {
    isRefreshToken = true;
    if (!promise) {
      promise = refreshToken();
    }

    promise.then((isSuccess) => {
      if (isSuccess)
        queue.forEach((item) => {
          item.resolve(setToken(item.config));
        });
    });

    // 重置刷新标识, 刷新的promise, 和 待发送请求的队列
    promise.finally(() => {
      isRefreshToken = false;
      promise = null;
      queue = [];
    });
  }

  return { handleUnauthorized, handleReqWhenUnauthorized };
}

参考资料

aha-凯心
关注
关于实现token无感刷新的解决方案
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
前端自动刷新Token与超时安全退出攻略
weixin_45734165的博客
07-16 444
设置定时器,每1分钟获取一次 localStorage 这两个字段,优先判断 activeEvents 是否为空,若不为空则更新 lastActiveTime 为当前时间,若为空,则使用当前时间减去 lastActiveTime 得到的值与规定值(假设为1h)做比较,大于 1h 则退出登录。因为http请求是无状态的,是一次性的,请求之间没有任何关系,服务端无法知道请求者的身份,所以需要鉴权,来验证当前用户是否有访问系统的权限。当用户登录之后,长时间不操作应该做自动退出功能,提高用户数据的安全性。
token与refresh token
luminita_的博客
10-09 5588
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
面试官:如何做到无感刷新token
m0_73735578的博客
06-24 663
当我在系统页面上做业务操作的时候会出现突然闪退的情况,然后跳转到登录页面需要重新登录系统,系统使用了Redis做缓存来存储用户ID,和用户的token信息,这是什么问题呢?突然闪退,一般都是由于你的token过期的问题,导致身份失效。自动刷新tokentoken续约如果Token即将过期,你在验证用户权限的同时,为用户生成一个新的Token并返回给客户端,客户端需要更新本地存储的Token,还可以做定时任务来刷新Token,可以不生成新的Token,在快过期的时候,直接给Token增加时间。
Token验证与刷新Token
Xinnnnn的博客
09-26 920
Token验证与刷新Token的实现
一些token无感刷新的思考(附代码)
PleaseBeStrong的博客
05-21 1953
通过该定时器类,可以实现MyTimer.start 方法调用setInterval 间隔delay 时间步执行,判断当前的token过期时间是否小于我们设置的minCheck , 如果小于则使用refreshToken异步刷新token// delay为重复探查的间隔时间 , minCheck是判断token是否是快过期的// 如果存在token,判断是否过期// 假设有一个函数用于获取token的过期时间// 如果剩余时间小于等于5分钟,则异步发送刷新请求并更新token
token续签方案
weixin_52236586的博客
08-10 642
在处理 Token 的有效期续签时,通常有两种主要策略:自动续签和手动续签。
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
前端实现token的无感刷新#记录
junsens的博客
04-07 4402
因为服务器的token一版不会设置太长,token过期后就需要重新登录,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token
java springboot 刷新 token 前后端 逻辑是啥 前端 vue
Java&Develop的博客
01-23 468
java springboot 刷新 token 前后端 逻辑是啥 前端 vue
前端React中无感刷新token
weixin_42562482的博客
08-15 534
2、后端使用的是.Net Core 6+Jwt,需要通过登录验证时生成的token和RefreshToken去获取新token。起因:项目之前在token到期之后直接跳转到登录页,现在客户不想跳转到登录页重新登录。1、直接上代码,自定义一个request。refreshToken函数。
Token和Refresh Token
Mr_lee_1的博客
09-05 2708
刷新令牌提高了用户体验和安全性,允许客户端在访问令牌过期时自动续期,而不需要让用户重新登录。获取令牌需要重新进行身份验证,操作复杂且影响用户体验。刷新令牌通过分离短期的访问令牌和长期的刷新令牌,可以平衡用户体验和安全需求,同时减少服务器的负载。
实现Token无感刷新
qq_43284411的博客
03-17 1747
通过 Axios 的请求拦截器和响应拦截器,可以实现 Token 的无感刷新,从而提升用户体验。关键在于:在 Token 过期前主动刷新。处理并发请求和错误情况。确保 Token 存储和传输的安全性。这种方法适用于大多数前后端分离的项目,能够有效减少用户因 Token 过期而需要重新登录的情况。
access_token与refresh_token之为什么要用refresh_token刷新不重新获取access_token?
Soul_Nick_Kingdom
01-23 3万+
作为一个小白,在做微信第三方登录的时候遇到的一些问题总结了一下: 问题:access_token与refresh_token之为什么要用refresh_token刷新不重新获取access_token?   网上挺多回答的,但是我都觉得不是很满意,所以我就自己总结了一下;   原因是access_token只保存2个小时,而refresh_token保存30天; 当access_tok
关于token和refresh token
米粒人生
06-26 1万+
最近在做公司的认证系统,总结了如下一番心得。传统的认证方式一般采用cookie/session来实现,这是我们的出发点。1.为什么选用token而不选用cookie/session?本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由session保存用户...
微信开发中遇到的access_token
热门推荐
wzx19840423的专栏
07-07 7万+
这真是一个巨大的坑,为了避免以后踩到同样的坑和帮助刚接触这块的同学快速脱坑,我花了些时间研究问题的来龙去脉,提供了一个不太完美的解决方案,以及未来规划的完美解决方案。 问题现象 在开发微信jssdk的图像接口功能时,测试环境和回归环境都ok。但是更新到预发布环境后,功能就异常了,一直报图片下载失败。最后快到发布时间时,功能又恢复正常了。于是按照常规流程进行了发布。过了两天,收到线上反馈的问题:
前后端利用accessToken与refreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 6665
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessToken和refreshToken
如何解决前后端token过期问题
时光冉冉,我们都在变
03-17 6万+
问题描述:首先后端生成的token是有时限的,在一段时间后不管前端用户是否进行了访问后端的操作,后端的token都会过期,在拦截器阶段就会返回错误的请求:token过期,从而拿不到想要的请求数据. 解决思路: 每隔一段时间的后端请求中都将token传送过去获取新的token并返回前端放入cookies中并记录cookie的存储失控,达到更新cookie中token的效果;而长时间不做操作的话我...
vue中的token刷新
Gomeer的博客
04-16 3972
token: token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token,避免多次查库。token在服务器端并不保存,当服务器端收到token时,使用服务器端的特...
前端无感刷新token
最新发布
07-23
前端实现无感刷新 Token 的机制,主要目的是在用户无感知的情况下,自动完成 Token 的更新,从而避免因 Token 过期而中断用户的操作,同时提升系统安全性与用户体验。以下是实现无感刷新 Token 的主要方法: ### 请求拦截与响应拦截机制 前端通常通过封装 HTTP 请求库(如 Axios 或 Fetch)来实现请求和响应的拦截。在请求发出前,自动注入当前有效的 Token;在接收到响应后,若发现 Token 失效(如返回 401 未授权状态),则触发刷新 Token 的流程[^2]。 ```javascript // 示例:使用 Axios 实现请求与响应拦截 const apiClient = axios.create({ baseURL: 'https://api.example.com', }); let isRefreshing = false; let failedQueue = []; apiClient.interceptors.request.use(config => { const token = localStorage.getItem('token'); if (token) { config.headers['Authorization'] = `Bearer ${token}`; } return config; }); apiClient.interceptors.response.use( response => response, async error => { const originalRequest = error.config; if (error.response.status === 401 && !originalRequest._retry) { if (isRefreshing) { return new Promise((resolve, reject) => { failedQueue.push({ resolve, reject }); }).then(token => { originalRequest.headers['Authorization'] = `Bearer ${token}`; return axios(originalRequest); }).catch(err => Promise.reject(err)); } originalRequest._retry = true; isRefreshing = true; try { const refreshToken = localStorage.getItem('refreshToken'); const response = await axios.post('/auth/refresh-token', { refreshToken }); const { token } = response.data; localStorage.setItem('token', token); processQueue(null, token); originalRequest.headers['Authorization'] = `Bearer ${token}`; return axios(originalRequest); } catch (err) { processQueue(err, null); return Promise.reject(err); } finally { isRefreshing = false; } } return Promise.reject(error); } ); function processQueue(error, token) { failedQueue.forEach(prom => { if (error) { prom.reject(error); } else { prom.resolve(token); } }); failedQueue = []; } ``` ### 利用 Refresh Token 机制 为了实现无感刷新,通常采用双 Token 机制:`Access Token` 和 `Refresh Token`。Access Token 用于日常请求,生命周期较短;Refresh Token 用于获取新的 Access Token,生命周期较长但应受到频率限制以增强安全性[^3]。 - **Access Token**:用于每次请求的鉴权,有效期较短(如 15 分钟)。 - **Refresh Token**:用于在 Access Token 过期时获取新的 Access Token,有效期较长,但应设置使用频率限制(如每小时最多使用一次)。 ### 安全性增强措施 - **非对称加密签名**:使用 RSA 等非对称加密算法对 JWT 签名,防止 Token 被篡改[^3]。 - **限制 Refresh Token 使用频率**:避免被恶意高频使用,例如限制为每小时最多刷新一次。 - **存储安全**:将 Token 存储于 `HttpOnly` 的 Cookie 中,或使用 `localStorage` 时结合加密手段。 ### 批量请求处理机制 在多个请求同时遇到 Token 失效的情况下,应避免多次调用刷新 Token 接口。可以通过维护一个“失败请求队列”,在刷新 Token 成功后统一重试这些请求,从而减少服务器压力并提升用户体验[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值