spring-security-oauth2做前后端分离实现无感知token续期
1.问题由来
接触java已经将近3年现在大四在实习了,以前自己写的项目最多只用到了spring-security做权限认证其中的token是用jwt实现的,也考虑和使用过响应头返回新token前端判断替换token来实现访问续期的,但是总觉得不是很方便。再者就是当token过期后前端直接要求用户重新登录,这样用户体验会很不好。
现在正在学习使用spring-security-oauth2做认证和授权,登录返回的AccessToken和RefreshToken可以很好地帮助我实现token续期。其中用到了oauth2的相关知识,在此不做解释。
理解OAuth2
这是一个token刷新的思路,我还在向这个方西努力
2.前端vue处理
请求响应拦截添加令牌过期处理
在判断响应结果是token过期时,执行刷新令牌方法覆盖本地的token。
在刷新期间需做到两点,一是避免重复刷新,二是请求重试,为了满足以上两点添加了两个关键变量:
refreshing----刷新标识
在第一次access_token过期请求失败时,调用刷新token请求时开启此标识,标识当前正在刷新中,避免后续请求因token失效重复刷新。
waitQueue----请求等待队列
当执行刷新token期间时,需要把后来的请求先缓存到等待队列,在刷新token成功时,重新执行等待队列的请求即可。
修改请求响应封装request.js的代码如下,关键部分使用注释说明
响应拦截器
// 响应拦截器
let refreshing = false,// 正在刷新标识,避免重复刷新
waitQueue = [] // 请求等待队列
service.interceptors.response.use(res => {
// 未设置状态码则默认成功状态
const code = res.data.code || 200;
// 获取错误信息
const msg = errorCode[code] || res.data.message || errorCode['default']
console.log(code)
if (code == 1001 ) {
const config = res.config
if (refreshing == false) {
refreshing = true
const refreshToken = getRefresh()
return store.dispatch('RefreshToken', refreshToken).then((token) => {
console.log("成功+"+token)
config.headers['Authorization'] = 'bearer' + token
config.baseURL = '' // 请求重试时,url已包含baseURL
waitQueue.forEach(callback => callback(token)) // 已刷新token,所有队列中的请求重试
waitQueue = []
return service(config)
}).catch(() => {
// refresh_token也过期,直接跳转登录页面重新登录
MessageBox.confirm('当前页面已失效,请重新登录', '确认退出', {
confirmButtonText: '重新登录',
cancelButtonText: '取消',
type: 'warning'
}).then(() => {
store.dispatch('LogOut').then(() => {
location.href = '/index';
})
})
}).finally(() => {
refreshing = false
})
} else {
// 正在刷新token,返回未执行resolve的Promise,刷新token执行回调
return new Promise((resolve => {
waitQueue.push((token) => {
config.headers['Authorization'] = 'bearer' + token
config.baseURL = '' // 请求重试时,url已包含baseURL
resolve(service(config))
})
}))
}
} else if (code === 500) {
Message({
message: msg,
type: 'error'
})
return Promise.reject(new Error(msg))
} else if (code != 200) {
Notification.error({
title: msg
})
return Promise.reject('error')
} else {
return res.data
}
},
error => {
console.log('err' + error)
let {
message } = error;
if (message == "Network Error") {
message = "后端接口连接异常";
}
else if (message.includes("timeout")) {
message = "系统接口请求超时";
}
else if (message.includes("Request failed with status code")) {
message = "系统接口" + message.substr(message.length - 3) + "异常";
}
Message({
message: message,
type: 'error',
duration: 5 * 1000
})
return Promise.reject(error)
}
)
store中封装的方法
//刷新token
RefreshToken({
commit}, refreshToken) {
commit('SET_TOKEN', undefined)
return new Promise((resolve, reject) => {
axios({
method:"post",
url:`${
process.env.VUE_APP_BASE_API}/oauth/token`,
headers: {
'Authorization': "Basic Z3------xMjM0NTY="},//通过base64加密的客户端数据
params:{
grant_type:"refresh_token",
refresh_token:refreshToken
},
}).then((response)=>{
const token = response.data.access_token
const refreshToken = response.data.refresh_token
setToken('bearer' +token)
commit('SET_TOKEN','bearer' + token)
setRefresh(refreshToken)
commit('SET_Refresh',refreshToken)
resolve(token)
}).catch(error => {
reject(error)
})
})
},
3.测试
0~61s:双token都没过期,正常请求过程。
61s~120s:access_token过期,再次请求会执行一次刷新请求。
120s+: refresh_token过期,神仙都救不了,重新登录