我要评论在前端项目中,token 通常用于用户认证和权限管理。无论是基于 jwt (json web token) 还是其他类型的 token,它们往往有一个过期时间。当 token 过期时,用户的操作会受到影响,因此我们需要一种无感知(或“静默”)的方式来刷新 token,确保用户在会话中的操作不会中断。
本文将介绍如何在 vue 项目中实现 token 的无感刷新,包括 token 刷新的原理、拦截器的应用以及如何处理 token 过期。
一、token 刷新的背景
通常,token 分为两种:
- 访问令牌 (access token):用于每次请求时验证用户身份,通常有效期较短。
- 刷新令牌 (refresh token):用于刷新访问令牌,当访问令牌过期时,可以使用刷新令牌获取新的访问令牌。
在实际应用中,访问令牌的有效期较短,主要是为了安全性。当访问令牌过期时,我们不想强制用户重新登录,而是通过刷新令牌来获取新的访问令牌,从而实现无感刷新。
二、无感 token 刷新的实现原理
无感刷新是指在用户不感知的情况下,当 token 过期时自动刷新并重新发起请求。这个过程通常包含以下步骤:
- 每次发起请求时,检查访问令牌的有效性。
- 如果访问令牌过期,暂停当前请求并使用刷新令牌获取新的访问令牌。
- 使用新的访问令牌重新发起之前被暂停的请求。
- 更新应用中的 token 信息。
三、在 vue 项目中实现 token 无感刷新
在 vue 项目中,我们通常使用 axios 来处理 http 请求。为了实现无感刷新,我们可以使用 axios 的拦截器来拦截请求和响应,检测 token 是否过期,并在需要时自动刷新。
1. 配置 axios 拦截器
首先,我们需要设置 axios 的请求和响应拦截器:
import axios from 'axios'; import store from '@/store'; // 假设我们将 token 保存在 vuex 中 import router from '@/router';
const apiclient = axios.create({
baseurl: process.env.vue_app_api_base_url,
timeout: 10000
});
// 请求拦截器,携带 token
apiclient.interceptors.request.use( config =>
{ const accesstoken = store.getters['auth/accesstoken'];
if (accesstoken)
{ config.headers['authorization'] = `bearer ${accesstoken}`; }
return config;
}, error => {
return promise.reject(error); }
);
// 响应拦截器,检查 token 是否过期
apiclient.interceptors.response.use( response => { return response; },
async error => { const originalrequest = error.config;
const refreshtoken = store.getters['auth/refreshtoken'];
// 检查是否是认证错误(如 401)
if (error.response.status === 401 && !originalrequest._retry && refreshtoken) { originalrequest._retry = true;
// 尝试使用刷新令牌获取新的访问令牌
try { const response = await axios.post('/auth/refresh', { token: refreshtoken });
const newaccesstoken = response.data.accesstoken;
// 更新存储中的 token store.commit('auth/set_access_token', newaccesstoken);
// 重新发起之前失败的请求
originalrequest.headers['authorization'] = `bearer ${newaccesstoken}`;
return apiclient(originalrequest); }
catch (refresherror) {
// 刷新失败,跳转到登录页面
store.commit('auth/logout');
router.push('/login'); } }
return promise.reject(error); } );
export default apiclient;2. 关键点解析
请求拦截器:在每次请求发送前,检查
accesstoken是否存在,并将其添加到请求头的authorization字段中,确保后端可以识别用户身份。响应拦截器:如果响应状态码为
401,说明访问令牌无效或过期。此时,会尝试使用refreshtoken请求新的accesstoken。成功后,更新store中的accesstoken并重新发起之前失败的请求。
3. vuex 管理 token
为了更好地管理 token,我们可以使用 vuex 来存储和更新 token 信息。
// store/modules/auth.js
const state = { accesstoken: localstorage.getitem('accesstoken') || '', refreshtoken: localstorage.getitem('refreshtoken') || '' };
const getters = { accesstoken: state => state.accesstoken,
refreshtoken: state => state.refreshtoken };
const mutations = {
set_access_token(state, token) { state.accesstoken = token;
localstorage.setitem('accesstoken', token); },
set_refresh_token(state, token) { state.refreshtoken = token;
localstorage.setitem('refreshtoken', token); },
logout(state) { state.accesstoken = '';
state.refreshtoken = '';
localstorage.removeitem('accesstoken');
localstorage.removeitem('refreshtoken'); } };
export default { state, getters, mutations };在 vuex 中,我们使用 localstorage 来持久化 accesstoken 和 refreshtoken,这样即使用户刷新页面,token 也不会丢失。
四、自动刷新和用户体验
token 无感刷新极大地提升了用户体验,因为用户在 token 过期时无需重新登录。但需要注意以下几点:
- 安全性:刷新令牌的有效期应比访问令牌长,且只能使用一次,防止滥用。
- 定时刷新:可以在前端设置一个定时器,在 token 过期前自动刷新,而不是等到请求 401 错误时才刷新。
- 用户操作:在刷新令牌也过期时,需要引导用户重新登录。
五、总结
在 vue 项目中实现无感 token 刷新,可以确保用户在 token 过期时不会被强制登出或中断操作。通过 axios 拦截器和 vuex 的结合,我们可以实现自动化的 token 管理和刷新流程。这不仅提升了安全性,也为用户提供了更加流畅的使用体验。
到此这篇关于vue项目中实现无感token刷新的示例的文章就介绍到这了,更多相关vue 无感token刷新内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论