token为什么会失效 (无感刷新)

小染吖
1,906 阅读3分钟

令牌(Token)可能会失效的原因有多种

过期时间(Expiration Time):

令牌通常具有过期时间,一旦过期,就会失效。这是出于安全考虑,以确保令牌的有限生命周期。处理方法是在客户端应用程序中检查令牌的过期时间,并在令牌即将过期之前更新或重新获取新的令牌。

用户注销或权限变更:

当用户在系统中注销或其权限发生变化时,令牌可能会被注销或失效。此时,应在客户端应用程序中检测到该情况,并引导用户重新进行身份验证或重新登录。

令牌被撤销或失窃:

如果发现令牌被盗用或存在安全风险,服务端可能会撤销令牌或将其标记为失效。在此情况下,客户端应用程序应处理撤销或失效通知,并相应地更新用户的身份验证状态。

安全性更新:

当服务端更新或更改了安全相关的配置或密钥时,令牌可能会失效。这是为了确保令牌的安全性。在此情况下,客户端应用程序应根据服务端的要求或通知进行相应的更新。

无感刷新(Silent Refresh)

是一种在用户无感知的情况下刷新访问令牌(Access Token)的机制,以延长用户的身份验证状态并避免重新登录。

通常,无感刷新的流程如下:

  1. 客户端应用程序在获取访问令牌时,同时获取一个刷新令牌(Refresh Token)。刷新令牌具有较长的有效期限,通常比访问令牌更长。
  2. 在访问令牌接近过期时,客户端应用程序使用刷新令牌向身份验证服务器发起请求,以获取新的访问令牌,而无需用户进行交互或重新登录。此过程通常是通过后台进行的,对用户来说是无感知的。
  3. 身份验证服务器验证刷新令牌的有效性,并生成新的访问令牌并返回给客户端应用程序。
  4. 客户端应用程序使用新的访问令牌继续进行API请求。

通过这种方式,客户端应用程序可以在访问令牌过期之前自动获取新的访问令牌,从而实现无感刷新,并保持用户的登录状态。

需要注意以下几点:

  • 刷新令牌的有效期应该较长,以确保在一定时间内能够持续刷新访问令牌。
  • 刷新令牌需要妥善保管,并采取适当的安全措施,以防止令牌被泄露或滥用。
  • 身份验证服务器应该对刷新令牌的请求进行适当的验证和授权,并在验证失败或令牌失效时返回适当的错误。
  • 在无感刷新过程中,如果刷新令牌也过期了,那么用户将需要进行交互并重新登录,以获取新的刷新令牌。

无感刷新是一种提供良好用户体验的机制,同时也需要仔细考虑安全性和合理设置令牌的有效期限。具体实施方案会根据你使用的身份验证机制和后端服务器的配置而有所不同。

以下是演示代码:

// main.js

import Vue from 'vue';
import axios from 'axios';

Vue.prototype.$http = axios.create({
  baseURL: 'https://api.example.com',
  // 其他 Axios 配置项
});

Vue.prototype.$http.interceptors.response.use(
  response => response,
  error => {
    // 拦截响应错误
    const originalRequest = error.config;
    const isTokenExpired = error.response && error.response.status === 401;

    if (isTokenExpired) {
      // 访问令牌过期,尝试刷新令牌
      return Vue.prototype.$http
        .post('/oauth/token', {
          grant_type: 'refresh_token',
          refresh_token: 'your_refresh_token',
          client_id: 'your_client_id',
          client_secret: 'your_client_secret'
        })
        .then(response => {
          // 刷新成功,更新访问令牌并重试原始请求
          const { access_token, refresh_token } = response.data;
          Vue.prototype.$http.defaults.headers.common[
            'Authorization'
          ] = `Bearer ${access_token}`;
          originalRequest.headers['Authorization'] = `Bearer ${access_token}`;
          return Vue.prototype.$http(originalRequest);
        })
        .catch(error => {
          // 刷新失败,处理错误
          console.error('Failed to refresh token:', error);
          // 执行其他操作,例如重定向到登录页面等
          throw error;
        });
    }

    return Promise.reject(error);
  }
);

new Vue({
  // ...
}).$mount('#app');
avatar
文章
阅读
粉丝