前端 Token 管理与最佳实践

从存储到安全
1. 引言

Token 的作用:身份验证、权限控制、会话管理。

常见场景:登录、角色切换、Token 续签、过期处理。

问题背景:从实际代码中发现的 setToken 冗余问题引出主题。
2. Token 的生命周期

(1) 生成与存储

后端生成:登录接口返回 Token(如 JWT)。

前端存储:

localStorage / sessionStorage :简单但易受 XSS 攻击。
Cookie (HttpOnly + Secure):更安全,但需注意跨域。

代码示例:

Javascript

// 存储 Token(基于 Cookie)

复制代码
 export function setToken(token) {
   Cookies.set('token', token, { expires: 1 }); // 1 小时过期
 }

(2) 携带与验证

请求拦截器:自动附加 Token 到请求头。

Javascript

复制代码
axios.interceptors.request.use(config => {
    config.headers.Authorization = getToken();
    return config;
});

后端校验:验证 Token 合法性及过期时间。

(3) 续签与过期
续签机制:

后端设置token过期时间一小时,如果一小时之后用户还有操作,后端通过接口的响应头返回新 Token( set-authorization )。前端续签部分代码展示:

复制代码
service.interceptors.response.use(
  async res => {

    let setAuthorization = res.headers['set-authorization']
    if(setAuthorization){
      setToken(setAuthorization)
    }
}}

过期处理:

①移除token;

②重置路由(初始化路由,避免登录后出现路由重复的警告);

③跳转登录页(有可能在这一步之前需要获取重定向路径,登录直接跳转重定向的路径);

④移除动态路由(清除动态添加的路由,避免切换账号时路由权限错误);

相关推荐
谭光志7 小时前
Vibe Coding 时代,程序员该何去何从
前端·后端·ai编程
仿生狮子9 小时前
别再说“全栈”了,AI 时代团队只认这 5 种人
前端·人工智能·后端
kyriewen9 小时前
AI 写的 React 组件,合并前必查的 6 个坏味道——每个都有代码对比
前端·javascript·react.js
Highcharts.js9 小时前
软件开发公司为什么选择 Highcharts?
前端·前端框架·echarts·数据可视化·技术选型·highcharts·图表工具
阿祖zu10 小时前
企业 AI 转型之痛,个人提效十倍不止,组织效率仍止步不前?
前端·aigc·agent
摇滚侠11 小时前
SpringBoot3+Vue3 全套视频教程 45-51
前端·javascript·vue.js
酸梅果茶12 小时前
【6】lightning_lm项目-LIO 前端 -点云预处理模块
前端·slam
Hilaku12 小时前
前端大裁员背后的恐慌:我们还剩什么底牌?
前端·javascript·程序员
咖啡无伴侣13 小时前
unplugin-auto-import 使用详解+面试高频考点
前端·架构
搬砖记录员13 小时前
录屏文件打不开?H.265兼容性踩坑与4种实战方案
前端