欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

js實現(xiàn)無感刷新的實踐(附前后端實現(xiàn))

 更新時間:2024年04月09日 09:53:22   作者:接著奏樂接著舞。  
無感刷新機制的目的是在用戶不知情的情況下,自動更新其認證令牌本文,主要介紹了js實現(xiàn)無感刷新的實踐(附前后端實現(xiàn)),具有一定的參考價值,感興趣的可以了解一下

無感刷新的核心思路:

在這里插入圖片描述

無感刷新機制的目的是在用戶不知情的情況下,自動更新其認證令牌(通常是Access Token),以保證用戶的會話不會中斷。這通常涉及到兩種類型的令牌:

  • Access Token:它是用戶進行認證后得到的令牌,允許用戶訪問服務器的受保護資源。它有一個較短的有效期。

  • Refresh Token:它是在同一時間發(fā)放給用戶的另一個令牌,用于在Access Token過期時獲取一個新的Access Token。它的有效期比Access Token長。

當Access Token即將過期或已經(jīng)過期時,客戶端會使用Refresh Token向認證服務器請求一個新的Access Token。如果Refresh Token仍然有效,認證服務器則發(fā)放一個新的Access Token給客戶端,并且可能會同時發(fā)放一個新的Refresh Token。這個過程對用戶來說是沒有感知的,因此被稱為“無感”刷新。

在項目中實施無感刷新:

后端實施步驟:

認證端點設置

  • 設計一個認證API端點,當用戶初次登錄時,返回Access Token和Refresh Token。
  • 設計一個Token刷新API端點,只接受Refresh Token并返回新的Access Token(可選地返回新的Refresh Token)。

Token管理

  • Access Token應有一個短暫的生命周期,例如15分鐘。
  • Refresh Token應有一個長期的生命周期,例如7天或更長,且應該存儲在一個安全的存儲中。

安全考慮

  • 對Refresh Token進行旋轉(每次使用后就廢棄舊的Refresh Token并發(fā)放一個新的)。
  • 通過HTTPS交換所有Token。
  • 應用適當?shù)募用艽胧﹣肀WoToken的安全。

前端實施步驟:

存儲Token

  • 在客戶端安全地存儲Access Token和Refresh Token(例如使用Web的localStorage或SecureStorage)。

攔截請求和響應

  • 使用攔截器監(jiān)視所有出站請求和進站響應。
  • 在請求頭中自動加入Access Token。

處理過期的Access Token

  • 當接收到表示Token過期的HTTP狀態(tài)碼(例如401)時,暫停發(fā)出的請求。
  • 使用Refresh Token請求新的Access Token。

處理新的Access Token

  • 更新存儲中的Access Token。
  • 重新發(fā)送之前因Token過期而暫停的請求。

處理Refresh Token過期

  • 如果Refresh Token也過期或無效,引導用戶重新登錄。

無感刷新機制的大概思路就是這些,下面是具體的示例,分為簡化版和完整版,簡化版目的是更好的了解無感刷新的原理,而完整版就要考慮一些其他問題,比如說安全問題。

下面是實現(xiàn)無感刷新機制的具體示例(簡化版)

這個例子涵蓋前端(使用JavaScript)和后端(Node.js環(huán)境下使用Express框架)

后端(Node.js/Express)

const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
const accessTokenSecret = 'YOUR_ACCESS_TOKEN_SECRET';
const refreshTokenSecret = 'YOUR_REFRESH_TOKEN_SECRET';
let refreshTokens = [];

app.post('/login', (req, res) => {
    // 用戶登錄邏輯,驗證用戶憑證
    const { username, password } = req.body;

    // 這里應該有邏輯來驗證用戶憑證
    // 如果驗證成功:
    const accessToken = jwt.sign({ username }, accessTokenSecret, { expiresIn: '15m' });
    const refreshToken = jwt.sign({ username }, refreshTokenSecret);
    refreshTokens.push(refreshToken);

    res.json({
        accessToken,
        refreshToken
    });
});

app.post('/refresh', (req, res) => {
    // 用戶發(fā)送refresh token來獲取新的access token
    const { refreshToken } = req.body;
    if (!refreshToken || !refreshTokens.includes(refreshToken)) {
        return res.sendStatus(403);
    }

    jwt.verify(refreshToken, refreshTokenSecret, (err, user) => {
        if (err) {
            return res.sendStatus(403);
        }

        const newAccessToken = jwt.sign({ username: user.username }, accessTokenSecret, { expiresIn: '15m' });

        res.json({
            accessToken: newAccessToken
        });
    });
});

app.listen(3000, () => {
    console.log('Authentication service started on port 3000');
});

前端(JavaScript/AJAX)

假設使用了axios作為HTTP客戶端,可以設置攔截器來自動處理Token刷新。

axios.interceptors.response.use(response => {
    return response;
}, error => {
    const originalRequest = error.config;
    if (error.response.status === 401 && !originalRequest._retry) {
        originalRequest._retry = true;
        return axios.post('/refresh', {
            refreshToken: localStorage.getItem('refreshToken')
        }).then(res => {
            if (res.status === 200) {
                localStorage.setItem('accessToken', res.data.accessToken);
                axios.defaults.headers.common['Authorization'] = 'Bearer ' + localStorage.getItem('accessToken');
                return axios(originalRequest);
            }
        });
    }

    return Promise.reject(error);
});

這段代碼中,我們在響應攔截器中檢查任何錯誤的響應。如果我們得到一個401響應,并且這是第一次重試,我們就發(fā)送一個帶有refreshToken的請求到/refresh端點。如果刷新Token成功,我們就保存新的accessToken,更新請求頭,并重新發(fā)起失敗的請求。

完整示例

實現(xiàn)非簡化的登錄無感刷新機制通常會涉及更詳細的認證流程、錯誤處理、日志記錄和安全性措施。這包括使用數(shù)據(jù)庫存儲Refresh Tokens、自動撤銷機制、雙因素認證等。

后端實現(xiàn)(Node.js/Express + MongoDB)

首先,你需要設置一個數(shù)據(jù)庫來存儲Refresh Tokens。出于安全考慮,每個Refresh Token都應該與一個用戶賬戶關聯(lián),并且能夠被追蹤和撤銷。

const express = require('express');
const jwt = require('jsonwebtoken');
const bcrypt = require('bcrypt');
const User = require('./models/User'); // 導入User模型
const RefreshToken = require('./models/RefreshToken'); // 導入RefreshToken模型
const app = express();

// ...其他必要的中間件和數(shù)據(jù)庫連接代碼...

app.post('/login', async (req, res) => {
    // 用戶登錄邏輯,驗證用戶憑證
    const { username, password } = req.body;
    const user = await User.findOne({ username });

    if (user && bcrypt.compareSync(password, user.password)) {
        const accessToken = jwt.sign({ userId: user._id }, accessTokenSecret, { expiresIn: '15m' });
        const refreshToken = jwt.sign({ userId: user._id }, refreshTokenSecret);

        // 保存refresh token到數(shù)據(jù)庫
        const newRefreshToken = new RefreshToken({ token: refreshToken, user: user._id });
        await newRefreshToken.save();

        res.json({ accessToken, refreshToken });
    } else {
        res.status(401).send('Username or password incorrect');
    }
});

app.post('/refresh', async (req, res) => {
    // 用戶發(fā)送refresh token來獲取新的access token
    const { refreshToken } = req.body;
    const dbToken = await RefreshToken.findOne({ token: refreshToken });

    if (!dbToken) {
        return res.status(403).send('Refresh token not found');
    }

    jwt.verify(refreshToken, refreshTokenSecret, async (err, decoded) => {
        if (err) {
            return res.status(403).send('Refresh token invalid');
        }

        // 生成新的access token和refresh token
        const newAccessToken = jwt.sign({ userId: decoded.userId }, accessTokenSecret, { expiresIn: '15m' });
        const newRefreshToken = jwt.sign({ userId: decoded.userId }, refreshTokenSecret);

        // 更新數(shù)據(jù)庫中的refresh token
        dbToken.token = newRefreshToken;
        await dbToken.save();

        res.json({ accessToken: newAccessToken, refreshToken: newRefreshToken });
    });
});

app.listen(3000, () => {
    console.log('Authentication service started on port 3000');
});

在此示例中,我們使用了MongoDB來存儲用戶和他們的Refresh Tokens。登錄時,我們驗證用戶憑證,并且如果認證成功,我們就生成Access Token和Refresh Token,然后將Refresh Token保存到數(shù)據(jù)庫。在無感刷新流程中,我們驗證提供的Refresh Token是否存在于數(shù)據(jù)庫中,并且是否有效,然后發(fā)放新的Access Token。

前端實現(xiàn)(JavaScript/AJAX + Local Storage)

在前端實現(xiàn)中,我們需要確保存儲Token的方法是安全的。在生產環(huán)境中,你可能需要考慮使用更安全的存儲方式,如HTTPOnly Cookies或Secure Local Storage。

axios.interceptors.response.use(
  response => response,
  error => {
    const originalRequest = error.config;

    // 檢測token過期的錯誤代碼,比如401
    if (error.response.status === 401 && originalRequest.url === '/refresh') {
      // 刷新Token失敗,直接登出用戶
      logoutUser();
      return Promise.reject(error);
    }

    if (error.response.status === 401 && !originalRequest._retry) {
      originalRequest._retry = true;
      return axios.post('/refresh', { refreshToken: localStorage.getItem('refreshToken') })
        .then(res => {
          if (res.status === 200) {
            // 將新token設置到本地存儲和axios默認頭部
            localStorage.setItem('accessToken', res.data.accessToken);
            localStorage.setItem('refreshToken', res.data.refreshToken);
            axios.defaults.headers.common['Authorization'] = 'Bearer ' + res.data.accessToken;

            // 更新失敗請求的頭部并重新發(fā)送


            originalRequest.headers['Authorization'] = 'Bearer ' + res.data.accessToken;
            return axios(originalRequest);
          }
        })
        .catch(error => {
          // 任何錯誤都直接登出用戶
          logoutUser();
          return Promise.reject(error);
        });
    }

    return Promise.reject(error);
  }
);

function logoutUser() {
  // 清除本地存儲和狀態(tài),重定向到登錄頁面
  localStorage.removeItem('accessToken');
  localStorage.removeItem('refreshToken');
  // ...重定向到登錄頁的代碼...
}

在前端的實現(xiàn)中,我們創(chuàng)建了一個axios攔截器,它會在遇到401未授權的響應時自動嘗試刷新Token。如果刷新Token請求也失敗,則觸發(fā)用戶登出的邏輯。

注意:此功能一定要注意其安全性,具體的話要結合實際的項目,以下是我的一些建議:
安全方面通常包括以下幾個方法:

1. 使用HTTPS來加密所有的通信。

2. 安全地存儲Access Token和Refresh Token,如使用httpOnly和Secure屬性的Cookies。

3. 對Token進行定期輪換,特別是Refresh Token。

4. 在服務器端驗證Token的簽名。

5. 設置適當?shù)腡oken過期時間。

6. 實現(xiàn)Token撤銷邏輯,以便在檢測到異常時能夠立即廢棄使用。

7. 避免在客戶端暴露敏感的認證邏輯。

8. 對所有的認證請求和Token刷新請求進行率限制和異常監(jiān)測。

9. 使用跨站請求偽造(CSRF)保護措施。

10. 確保客戶端和服務端都有充分的錯誤處理和日志記錄機制。

到此這篇關于js實現(xiàn)無感刷新的實踐(附前后端實現(xiàn))的文章就介紹到這了,更多相關js 無感刷新內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • 微信小程序實現(xiàn)簡單的計算器功能

    微信小程序實現(xiàn)簡單的計算器功能

    這篇文章主要為大家詳細介紹了微信小程序實現(xiàn)簡單的計算器功能,文中示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2021-07-07
  • ES6新特性之變量和字符串用法示例

    ES6新特性之變量和字符串用法示例

    這篇文章主要介紹了ES6新特性之變量和字符串用法,結合具體實例形式分析了ES6中變量與字符串的特性、使用方法與相關注意事項,需要的朋友可以參考下
    2017-04-04
  • JS簡單隨機數(shù)生成方法

    JS簡單隨機數(shù)生成方法

    這篇文章主要介紹了JS簡單隨機數(shù)生成方法,通過javascript自定義函數(shù)演示了隨機數(shù)的生成方法,需要的朋友可以參考下
    2016-09-09
  • 原生JS檢測CSS3動畫是否結束的方法詳解

    原生JS檢測CSS3動畫是否結束的方法詳解

    這篇文章主要介紹了原生JS檢測CSS3動畫是否結束的方法,結合實例形式分析了javascript事件響應及針對css3屬性檢測相關操作技巧,需要的朋友可以參考下
    2019-01-01
  • JS前端開發(fā)模擬虛擬dom轉真實dom詳解

    JS前端開發(fā)模擬虛擬dom轉真實dom詳解

    這篇文章主要為大家介紹了JS前端開發(fā)模擬虛擬dom轉真實dom詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
    2023-01-01
  • JS FormData上傳文件的設置方法

    JS FormData上傳文件的設置方法

    使用FormData上傳文件時,總是獲取不到req.file對象。發(fā)現(xiàn)是沒有配置對FormData導致的,怎么解決這個問題呢?下面小編給大家?guī)砹薐S FormData上傳文件的設置方法,需要的朋友參考下吧
    2017-07-07
  • JS實現(xiàn)的簡單拖拽功能示例

    JS實現(xiàn)的簡單拖拽功能示例

    這篇文章主要介紹了JS實現(xiàn)的簡單拖拽功能,涉及javascript鼠標事件響應及頁面元素屬性動態(tài)操作相關技巧,需要的朋友可以參考下
    2017-03-03
  • js數(shù)字計算 誤差問題的快速解決方法

    js數(shù)字計算 誤差問題的快速解決方法

    下面小編就為大家?guī)硪黄猨s數(shù)字計算 誤差問題的快速解決方法。小編覺得挺不錯的,現(xiàn)在就分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2017-02-02
  • js實現(xiàn)的點擊超鏈顯示隱藏層

    js實現(xiàn)的點擊超鏈顯示隱藏層

    js實現(xiàn)的點擊超鏈顯示隱藏層...
    2007-05-05
  • 使用pcs api往免費的百度網(wǎng)盤上傳下載文件的方法

    使用pcs api往免費的百度網(wǎng)盤上傳下載文件的方法

    百度個人云盤空間大,完全免費,而且提供了pcs api供調用操作文件,在平時的項目里往里面保存一些文件是很實用的。通過本文給大家介紹使用pcs api往免費的百度網(wǎng)盤上傳下載文件的方法,感興趣的朋友一起學習吧
    2016-03-03

最新評論