Token刷新机制

Token刷新机制

• 背景
• • [1. 基于定时器的自动刷新](#1. 基于定时器的自动刷新)
  • • 实现方式
    • 优点
    • 缺点
  • [2. 基于请求拦截器的刷新](#2. 基于请求拦截器的刷新)
  • • 实现方式
    • 优点
    • 缺点
  • [3. 基于响应拦截器的刷新(最常用)](#3. 基于响应拦截器的刷新(最常用))
  • • 实现方式
    • 优点
    • 缺点
  • 总结

背景

现在的网站基本会设置授权访问，对于某些资源的访问，需要有权限才能访问或者操作，而服务端判断用户是否有权访问或者操作，一般是通过Token实现，而Token一般会设置过期时间，对于关于授权方面的技术这里不会具体描述，这篇主要针对的是用户访问授权资源的时候，Token过期了，如何实现无需再次登录，无痛刷新Token，重新请求。以下是几种可实现的方法

在前端实现刷新 token（access token）的方法有多种，每种方法都有其优点和缺点。以下是几种常见的方法及其评估：

1. 基于定时器的自动刷新

实现方式

使用 setTimeout 或 setInterval 定时在 token 过期前一定时间内自动发起刷新请求。

let refreshTokenTimeout;

const setRefreshTokenTimer = (expiresIn) => {
  // 设置定时器，在 token 过期前 5 分钟刷新
  const refreshTime = expiresIn - 300000; // 5分钟
  refreshTokenTimeout = setTimeout(refreshToken, refreshTime);
}

const refreshToken = async () => {
  try {
    const response = await fetch('/refresh-token');
    const data = await response.json();
    // 假设返回数据包含新的 access token 和它的过期时间（expiresIn）
    localStorage.setItem('refreshToken', data.refreshToken);
    setRefreshTokenTimer(data.expiresIn);
  } catch (error) {
    console.error("Failed to refresh token", error);
    // 可以根据需要处理错误，例如跳转到登录页面
  }
}

// 初次设置定时器，这种需要后台返回token的过期时间，或者用户登录的时候获取token的时候同时存储当前的时间于localStorage
setRefreshTokenTimer(initialExpiresIn);

优点

• 简单易实现：逻辑简单，易于理解和实现。
• 自动化管理：无需用户干预，token 刷新完全自动化。

缺点

• 不适用于后台刷新：如果用户离开页面或浏览器 tab 被挂起，定时器可能无法正常工作。
• 资源消耗：可能会导致不必要的网络请求，特别是在用户不活跃时。

2. 基于请求拦截器的刷新

实现方式

在每个 API 请求之前检查 token 是否即将过期，如果即将过期，则首先刷新 token，然后再继续发送请求。

// 使用 Axios 作为示例请求库
import axios from 'axios';

const http= axios.create({
  baseURL: '/api',
  timeout: 10000,
});

http.interceptors.request.use(async (config) => {
  const token = localStorage.getItem('refreshToken');
  const expiryTime = localStorage.getItem('tokenExpiryTime');

  if (expiryTime && Date.now() >= expiryTime - 300000) { // 提前5分钟刷新
    const newTokenData = await refreshToken();
    config.headers['Authorization'] = `Bearer ${newTokenData.refreshToken}`;
  } else {
    config.headers['Authorization'] = `Bearer ${token}`;
  }

  return config;
}, (error) => {
  return Promise.reject(error);
});

const refreshToken = async () => {
  try {
    const response = await apiClient.post('/refresh-token');
    const data = await response.data;
    localStorage.setItem('refreshToken', data.refreshToken);
    localStorage.setItem('tokenExpiryTime', Date.now() + data.expiresIn);
    return data;
  } catch (error) {
    console.error("Failed to refresh token", error);
    throw error;
  }
};

// 在需要时使用 apiClient 发出请求
http.get('/some-protected-endpoint').then(response => {
  console.log(response.data);
});

优点

• 高效：仅在需要时刷新 token，减少不必要的网络请求。
• 适用于后台刷新：即使页面在后台运行，也能确保 token 始终有效。

缺点

• 复杂度增加 ：需要处理并发刷新请求的问题，同一时刻多个请求可能触发多次刷新。

  比如，getApi1，getApi2同时并发请求，都会经过Token过期判断，都会发情token刷新请求，对于页面并发请求，比如多文件上传之类的并发，如果并发6条数据，则会请求6次token的刷新。

• 额外延迟：首次请求可能因为 token 刷新而略有延迟。

3. 基于响应拦截器的刷新(最常用)

实现方式

当 API 请求返回 401 Unauthorized 错误时，尝试刷新 token 并重新发送原始请求。

import axios, { AxiosInstance, AxiosRequestConfig, AxiosResponse, InternalAxiosRequestConfig } from 'axios';
const http: AxiosInstance = axios.create({
  baseURL: '/baseapi', //Mock
  timeout: 10000,
});
const openTokenRefresh = false; // 是否开启token刷新,如果开启，就设置为true就好
const pendingRequests: ((token: string) => void)[] = []; // 保存所有请求的回调，用于刷新token后重新请求
const onTokenRefreshed = (token: string):void => {
  // 刷新token后，重新请求,
  pendingRequests.forEach((callback) => {
    callback(token);
  });
  pendingRequests.length = 0;
};
const addPendingRequest = (callback: (token: string) => void) => {
  pendingRequests.push(callback);
};
//是否正在刷新token
let isRefreshing = false;

http.interceptors.response.use((response: AxiosResponse<any>) => response, async (error) => {
  if (error.response && error.response.status === 401 && openTokenRefresh) {
  	//获取refreshToken 
 	const refreshToken = localStorage.getItem('refreshToken');
    if (!refreshToken) {
        //没有refreshToken，跳转登录页面
      window.location.href('/login')
      return Promise.reject('登录失效，请重新登录');
    }
    if (!isRefreshing) {
      try{
         isRefreshing = true;
         //请求更新token
      	 const data= await updataToken(refreshToken);
       	 localStorage.setItem('token', data.token);
       	 localStorage.setItem('refreshToken', data.refreshToken);
       	 onTokenRefreshed(data.token);
       }catch(err){
       	  window.location.href('/login')
       	  return Promise.reject(err)
       }
       finally{
      	  isRefreshing = false
       }
    }
	      //存储当前请求
      return new Promise<AxiosResponse<any>>((resolve) => {
        addPendingRequest((newToken: string) => {
          response.config.headers['Authorization'] ='Bearer'+ newToken;
          resolve(http(response.config));
        });
      });
  }

  return Promise.reject(error);
});

优点

• 高效：只有在必要时才刷新 token，避免不必要的请求。
• 灵活性：能够处理 token 失效后的各种情况，包括并发问题。

缺点

• 复杂度较高：需要处理并发刷新、请求队列等问题，代码复杂度高。
• 延迟：第一次请求失败后需要等待 token 刷新，再次重试，可能会增加延迟。

总结

方法	优点	缺点
基于定时器的自动刷新	简单易实现，自动化管理	不适用于后台刷新，可能导致不必要的网络请求
基于请求拦截器的刷新	高效，适用于后台刷新，减少不必要的网络请求,	复杂度增加，需要处理并发刷新问题，同一时刻多个请求可能触发多次刷新。首次请求可能延迟
基于响应拦截器的刷新	只有在必要时才刷新 token，避免不必要的请求，能够处理 token 失效后的各种情况，包括并发问题。	首次请求失败可能增加延迟

选择哪种方法取决于你的具体需求和系统架构，通常基于请求拦截器和响应拦截器的方法更为普遍，因为它们能够更好地应对复杂的实际场景。