1.雙token的使用場景

眾所周知，Token作為用戶獲取受保護(hù)資源的憑證，必須設(shè)置一個(gè)過期時(shí)間，否則一次登錄便可永久使用，認(rèn)證功能就失去了意義。但是矛盾在于：過期時(shí)間設(shè)置得太長，用戶數(shù)據(jù)的安全性將大打折扣；過期時(shí)間設(shè)置得太短，用戶就必須每隔一段時(shí)間重新登錄，以獲取新的憑證，這會(huì)極大挫傷用戶的積極性。

1.假如你正在訪問某個(gè)平臺(tái)，沉浸式的使用了一小時(shí)后卻突然彈出一個(gè)token過期，重定向到了登錄頁…

2.假如你正在某網(wǎng)站里填寫你的個(gè)人信息或者內(nèi)容繁多的表單選項(xiàng)，填到一半的時(shí)候token過期了…提示需要重新登錄，結(jié)果登錄回來之后又要重新填寫表單信息…T~T

3.假如你正在激情的搶票、蹲卡點(diǎn)秒殺活動(dòng)！結(jié)果剛要搶購卻因token過期被重定向到登錄頁…

是不是代入起來就已經(jīng)很頭疼了？那如何避免這種情況發(fā)生呢，接下來我們就引入今天的主角——無感刷新token

2.什么是token

在介紹雙token無感刷新之前，我們先簡單介紹一下什么是token吧！

token是一種用戶標(biāo)識，表示用戶身份，類似于我們的身份證件。Token 是在服務(wù)端產(chǎn)生的。如果前端使用用戶名/密碼向服務(wù)端請求認(rèn)證，服務(wù)端認(rèn)證成功，那么在服務(wù)端會(huì)返回 Token 給前端。前端可以在每次請求的時(shí)候帶上 Token 證明自己的合法地位。如果這個(gè) Token 在服務(wù)端持久化（比如存入數(shù)據(jù)庫），那它就是一個(gè)永久的身份令牌。

3.如何無感刷新token（圖文＋代碼）

當(dāng)token過期了之后，我們應(yīng)該如何做到讓用戶無感知的自動(dòng)刷新token呢？

目前比較常見的有三種方法：

• 寫個(gè)定時(shí)器，時(shí)間一到就刷新getToken接口來獲取新token（極其不推薦）：消耗性能，不斷的去發(fā)送網(wǎng)絡(luò)請求，不建議這種做法
• 后端返回一個(gè)過期時(shí)間，前端每次發(fā)送請求都去判斷token是否過期，如果過期就調(diào)用getToken接口來獲取新token（不推薦）：需要后端額外提供一個(gè)過期時(shí)間的字段；使用了本地時(shí)間判斷，若本地時(shí)間被篡改，特別是本地時(shí)間比服務(wù)器時(shí)間慢時(shí)，攔截會(huì)失敗。
• 在請求響應(yīng)攔截器中攔截，判斷token 返回過期后，調(diào)用刷新token接口。（推薦???）：無性能損耗

在登錄成功后，后端會(huì)返回兩個(gè)Token，一個(gè)是Access Token(即短token)，一個(gè)是Refresh Token(即長token)。前端需要將這兩個(gè)Token保存到本地存儲(chǔ)中，例如localStorage或sessionStorage中，以便在需要時(shí)使用。

當(dāng)需要訪問API時(shí)，前端將從本地存儲(chǔ)中獲取Access Token，并將其放入請求頭中發(fā)送到后端。如果Access Token過期了，后端會(huì)返回一個(gè)錯(cuò)誤響應(yīng)，并提示前端進(jìn)行刷新Token的操作。

前端可以使用下面的代碼實(shí)現(xiàn)刷新Token的操作：

import axios from "axios";
import { getToken, setToken, setRefreshToken, getRefreshToken } from "./token";
import { ElMessage } from "element-plus";
import router from "@/router";
import { refreshToken } from "./refreshtoken";
const service = axios.create({
  baseURL: "http://localhost:8087",
  headers: {
    Authorization: `Bearer ${getToken()}`,
  },
});
// 添加請求攔截器
service.interceptors.request.use(
  function (config) {
    if (config.url === "/refresh_token") {
      config.headers["Authorization"] = `Bearer ${getRefreshToken()}`;
    }
    // 在發(fā)送請求之前做些什么
    return config;
  },
  function (error) {
    // 對請求錯(cuò)誤做些什么
    return Promise.reject(error);
  }
);

// 添加響應(yīng)攔截器
service.interceptors.response.use(async (res) => {
  // 1.第一次登錄了以后 后臺(tái)在header里面返回了短token 那么要先接收token存儲(chǔ)到localstorage里面
  if (res.headers.authorization) {
    const token = res.headers.authorization.replace("Bearer ", "");
    // 設(shè)置短token
    setToken(token);
    service.defaults.headers.Authorization = `Bearer ${token}`;
  }
  // 2. 第一次登錄了以后 后臺(tái)在header里面返回了長token 那么要先接受長token 存儲(chǔ)到localstorage里面
  if (res.headers.refreshtoken) {
    const refreshtoken = res.headers.refreshtoken.replace("Bearer ", "");
    // 設(shè)置長token
    setRefreshToken(refreshtoken);
  }
  // 3 假設(shè)當(dāng)后端返回401的時(shí)候 代表token失效 時(shí)間到了 這個(gè)時(shí)候正常處理就是跳到登錄頁面
  // 但是在實(shí)際的業(yè)務(wù)場景的時(shí)候 用戶體驗(yàn)非常不好

  if (res.data.code === 401) {
    // ElMessage({
    //   message: "token失效",
    //   type: "warning",
    // });
    // router.push("/login");
    // 這個(gè)地方就是短token失效了 提交表單 不跳到登錄頁面 因?yàn)檫@樣用戶體驗(yàn)很不好
    // 請求剛剛定義的一個(gè)接口
    // 這個(gè)時(shí)候 提交表單的接口 還沒提交 停在這里了 現(xiàn)在要干啥？請求
    // 干啥了？ 請求了changtoken攜帶過去 刷新token的接口
    const success = await refreshToken();
    if (success) {
      res.config.headers.Authorization = `Bearer ${getToken()}`;
      const result = await service.request(res.config);
      return result;
    }
  }

  return res.data;
});

function request(options) {
  options.method = options.method || "get";
  // 關(guān)于get請求參數(shù)的調(diào)整
  if (options.method.toLowerCase() === "get") {
    options.params = options.data;
  }

  return service(options);
}

export default request;

對應(yīng)的token.js和refreshtoken.js代碼：

模擬網(wǎng)卡的時(shí)候，響應(yīng)數(shù)據(jù)還沒返回就重復(fù)刷新的情況：（本質(zhì)就是借助Promise。將請求存進(jìn)隊(duì)列中后，同時(shí)返回一個(gè)Promise，讓這個(gè)Promise一直處于Pending狀態(tài)（即不調(diào)用resolve），此時(shí)這個(gè)請求就會(huì)一直等啊等，只要我們不執(zhí)行resolve，這個(gè)請求就會(huì)一直在等待。當(dāng)刷新請求的接口返回來后，我們再調(diào)用resolve，逐個(gè)重試。）

將token存進(jìn)localstorage里,同時(shí)為了防止多次刷新

使用 Token 和 Refresh Token 的時(shí)序圖如下：

1）登錄

2）業(yè)務(wù)請求

3）Token 過期，刷新 Token

現(xiàn)在，我們就已經(jīng)成功實(shí)現(xiàn)了長短token的無感刷新啦！

一定要理解文章開頭這張圖的流程哦

總結(jié)

到此這篇關(guān)于前端雙token無感刷新的文章就介紹到這了,更多相關(guān)前端雙token無感刷新內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論