快捷導(dǎo)航

前端實現(xiàn)Token刷新機(jī)制的幾種方法

更新時間：2025年08月24日 11:44:29 作者：Backstroke fish

本文探討Token過期時的無痛刷新方案,包括定時器、請求攔截器、響應(yīng)攔截器,建議優(yōu)先采用后兩者以兼顧效率與場景適配性,感興趣的可以了解一下

背景

現(xiàn)在的網(wǎng)站基本會設(shè)置授權(quán)訪問，對于某些資源的訪問，需要有權(quán)限才能訪問或者操作，而服務(wù)端判斷用戶是否有權(quán)訪問或者操作，一般是通過Token實現(xiàn)，而Token一般會設(shè)置過期時間，對于關(guān)于授權(quán)方面的技術(shù)這里不會具體描述，這篇主要針對的是用戶訪問授權(quán)資源的時候，Token過期了，如何實現(xiàn)無需再次登錄，無痛刷新Token，重新請求。以下是幾種可實現(xiàn)的方法

在前端實現(xiàn)刷新 token（access token）的方法有多種，每種方法都有其優(yōu)點和缺點。以下是幾種常見的方法及其評估：

1. 基于定時器的自動刷新

實現(xiàn)方式

使用 setTimeout 或 setInterval 定時在 token 過期前一定時間內(nèi)自動發(fā)起刷新請求。

let refreshTokenTimeout;

const setRefreshTokenTimer = (expiresIn) => {
  // 設(shè)置定時器，在 token 過期前 5 分鐘刷新
  const refreshTime = expiresIn - 300000; // 5分鐘
  refreshTokenTimeout = setTimeout(refreshToken, refreshTime);
}

const refreshToken = async () => {
  try {
    const response = await fetch('/refresh-token');
    const data = await response.json();
    // 假設(shè)返回數(shù)據(jù)包含新的 access token 和它的過期時間（expiresIn）
    localStorage.setItem('refreshToken', data.refreshToken);
    setRefreshTokenTimer(data.expiresIn);
  } catch (error) {
    console.error("Failed to refresh token", error);
    // 可以根據(jù)需要處理錯誤，例如跳轉(zhuǎn)到登錄頁面
  }
}

// 初次設(shè)置定時器，這種需要后臺返回token的過期時間，或者用戶登錄的時候獲取token的時候同時存儲當(dāng)前的時間于localStorage
setRefreshTokenTimer(initialExpiresIn);

優(yōu)點

簡單易實現(xiàn)：邏輯簡單，易于理解和實現(xiàn)。
自動化管理：無需用戶干預(yù)，token 刷新完全自動化。

缺點

不適用于后臺刷新：如果用戶離開頁面或瀏覽器 tab 被掛起，定時器可能無法正常工作。
資源消耗：可能會導(dǎo)致不必要的網(wǎng)絡(luò)請求，特別是在用戶不活躍時。

2. 基于請求攔截器的刷新

實現(xiàn)方式

在每個 API 請求之前檢查 token 是否即將過期，如果即將過期，則首先刷新 token，然后再繼續(xù)發(fā)送請求。

// 使用 Axios 作為示例請求庫
import axios from 'axios';

const http= axios.create({
  baseURL: '/api',
  timeout: 10000,
});

http.interceptors.request.use(async (config) => {
  const token = localStorage.getItem('refreshToken');
  const expiryTime = localStorage.getItem('tokenExpiryTime');

  if (expiryTime && Date.now() >= expiryTime - 300000) { // 提前5分鐘刷新
    const newTokenData = await refreshToken();
    config.headers['Authorization'] = `Bearer ${newTokenData.refreshToken}`;
  } else {
    config.headers['Authorization'] = `Bearer ${token}`;
  }

  return config;
}, (error) => {
  return Promise.reject(error);
});

const refreshToken = async () => {
  try {
    const response = await apiClient.post('/refresh-token');
    const data = await response.data;
    localStorage.setItem('refreshToken', data.refreshToken);
    localStorage.setItem('tokenExpiryTime', Date.now() + data.expiresIn);
    return data;
  } catch (error) {
    console.error("Failed to refresh token", error);
    throw error;
  }
};

// 在需要時使用 apiClient 發(fā)出請求
http.get('/some-protected-endpoint').then(response => {
  console.log(response.data);
});

優(yōu)點

高效：僅在需要時刷新 token，減少不必要的網(wǎng)絡(luò)請求。
適用于后臺刷新：即使頁面在后臺運行，也能確保 token 始終有效。

缺點

復(fù)雜度增加：需要處理并發(fā)刷新請求的問題，同一時刻多個請求可能觸發(fā)多次刷新。
比如，getApi1，getApi2同時并發(fā)請求，都會經(jīng)過Token過期判斷，都會發(fā)情token刷新請求，對于頁面并發(fā)請求，比如多文件上傳之類的并發(fā)，如果并發(fā)6條數(shù)據(jù)，則會請求6次token的刷新。
額外延遲：首次請求可能因為 token 刷新而略有延遲。

3. 基于響應(yīng)攔截器的刷新(最常用)

實現(xiàn)方式

當(dāng) API 請求返回 401 Unauthorized 錯誤時，嘗試刷新 token 并重新發(fā)送原始請求。

import axios, { AxiosInstance, AxiosRequestConfig, AxiosResponse, InternalAxiosRequestConfig } from 'axios';
const http: AxiosInstance = axios.create({
  baseURL: '/baseapi', //Mock
  timeout: 10000,
});
const openTokenRefresh = false; // 是否開啟token刷新,如果開啟，就設(shè)置為true就好
const pendingRequests: ((token: string) => void)[] = []; // 保存所有請求的回調(diào)，用于刷新token后重新請求
const onTokenRefreshed = (token: string):void => {
  // 刷新token后，重新請求,
  pendingRequests.forEach((callback) => {
    callback(token);
  });
  pendingRequests.length = 0;
};
const addPendingRequest = (callback: (token: string) => void) => {
  pendingRequests.push(callback);
};
//是否正在刷新token
let isRefreshing = false;

http.interceptors.response.use((response: AxiosResponse<any>) => response, async (error) => {
  if (error.response && error.response.status === 401 && openTokenRefresh) {
  	//獲取refreshToken 
 	const refreshToken = localStorage.getItem('refreshToken');
    if (!refreshToken) {
        //沒有refreshToken，跳轉(zhuǎn)登錄頁面
      window.location.href('/login')
      return Promise.reject('登錄失效，請重新登錄');
    }
    if (!isRefreshing) {
      try{
         isRefreshing = true;
         //請求更新token
      	 const data= await updataToken(refreshToken);
       	 localStorage.setItem('token', data.token);
       	 localStorage.setItem('refreshToken', data.refreshToken);
       	 onTokenRefreshed(data.token);
       }catch(err){
       	  window.location.href('/login')
       	  return Promise.reject(err)
       }
       finally{
      	  isRefreshing = false
       }
    }
	      //存儲當(dāng)前請求
      return new Promise<AxiosResponse<any>>((resolve) => {
        addPendingRequest((newToken: string) => {
          response.config.headers['Authorization'] ='Bearer'+ newToken;
          resolve(http(response.config));
        });
      });
  }

  return Promise.reject(error);
});

優(yōu)點

高效：只有在必要時才刷新 token，避免不必要的請求。
靈活性：能夠處理 token 失效后的各種情況，包括并發(fā)問題。

缺點

復(fù)雜度較高：需要處理并發(fā)刷新、請求隊列等問題，代碼復(fù)雜度高。
延遲：第一次請求失敗后需要等待 token 刷新，再次重試，可能會增加延遲。

總結(jié)

方法	優(yōu)點	缺點
基于定時器的自動刷新	簡單易實現(xiàn)，自動化管理	不適用于后臺刷新，可能導(dǎo)致不必要的網(wǎng)絡(luò)請求
基于請求攔截器的刷新	高效，適用于后臺刷新，減少不必要的網(wǎng)絡(luò)請求,	復(fù)雜度增加，需要處理并發(fā)刷新問題，同一時刻多個請求可能觸發(fā)多次刷新。首次請求可能延遲
基于響應(yīng)攔截器的刷新	只有在必要時才刷新 token，避免不必要的請求，能夠處理 token 失效后的各種情況，包括并發(fā)問題。	首次請求失敗可能增加延遲

選擇哪種方法取決于你的具體需求和系統(tǒng)架構(gòu)，通?；谡埱髷r截器和響應(yīng)攔截器的方法更為普遍，因為它們能夠更好地應(yīng)對復(fù)雜的實際場景。

到此這篇關(guān)于前端實現(xiàn)Token刷新機(jī)制的幾種方法的文章就介紹到這了,更多相關(guān)前端實現(xiàn)Token刷新內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: