使用过期令牌发出同时 API 请求时如何避免多个令牌刷新请求

【问题标题】:How to avoid multiple token refresh requests when making simultaneous API requests with an expired token使用过期令牌发出同时 API 请求时如何避免多个令牌刷新请求
【发布时间】:2020-06-30 03:40:54
【问题描述】:

使用 JWT 的 API 请求在 flask 和 Vue.js 中实现。 JWT 存储在 cookie 中,服务器会为每个请求验证 JWT。

如果令牌已过期,将返回 401 错误。 如果您收到 401 错误,请按照以下代码刷新令牌, 再次发出原始 API 请求。 以下代码对所有请求都是通用的。

http.interceptors.response.use((response) => {
    return response;
}, error => {
    if (error.config && error.response && error.response.status === 401 && !error.config._retry) {
        error.config._retry = true;
        http
            .post(
                "/token/refresh",
                {},
                {
                    withCredentials: true,
                    headers: {
                        "X-CSRF-TOKEN": Vue.$cookies.get("csrf_refresh_token")
                    }
                }
            )
            .then(res => {
                if (res.status == 200) {
                    const config = error.config;
                    config.headers["X-CSRF-TOKEN"] = Vue.$cookies.get("csrf_access_token");
                    return Axios.request(error.config);
                }
            })
            .catch(error => {

            });
    }
    return Promise.reject(error);
});

在令牌过期的情况下同时发出多个 API 请求时 无用地刷新令牌。 例如,请求 A、B 和 C 几乎同时执行。 由于每个请求都返回 401, 每个拦截器都会刷新令牌。

没有真正的伤害,但我认为这不是一个好方法。 有一个很好的方法可以解决这个问题。

我的想法是首先发出 API 请求来验证令牌过期, 该方法是在验证和刷新完成后发出请求A、B、C。 由于 cookie 是 HttpOnly 的,因此无法在客户端 (JavaScript) 验证到期日期。

对不起,英语不好...

【问题讨论】:

    标签: javascript axios jwt refresh-token


    【解决方案1】:

    您需要做的是在拦截器之外维护一些状态。说什么

    等一下,我正在获取新令牌。

    最好保留对Promise 的引用。这样,第一个 401 拦截器可以创建 Promise,然后所有其他请求都可以等待它。

    let refreshTokenPromise // this holds any in-progress token refresh requests

// I just moved this logic into its own function
const getRefreshToken = () => http.post('/token/refresh', {}, {
  withCredentials: true,
  headers: { 'X-CSRF-TOKEN': Vue.$cookies.get('csrf_refresh_token') }
}).then(() => Vue.$cookies.get('csrf_access_token'))

http.interceptors.response.use(r => r, error => {
  if (error.config && error.response && error.response.status === 401) {
    if (!refreshTokenPromise) { // check for an existing in-progress request
      // if nothing is in-progress, start a new refresh token request
      refreshTokenPromise = getRefreshToken().then(token => {
        refreshTokenPromise = null // clear state
        return token // resolve with the new token
      })
    }

    return refreshTokenPromise.then(token => {
      error.config.headers['X-CSRF-TOKEN'] = token
      return http.request(error.config)
    })
  }
  return Promise.reject(error)
})

    【讨论】:

    • 我在一个 React 项目中使用过(稍作修改)并且工作得也很好。谢谢!
    • @FernandoBarbosa 你能把你的代码分享给我吗?!
    猜你喜欢
    • 2017-06-09
    • 2019-01-25
    • 1970-01-01
    • 2016-12-22
    • 2017-12-15
    • 2012-02-16
    • 2019-10-13
    • 2016-03-31
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode