Service Worker认证令牌管理：异步更新与请求同步的最佳实践

在现代web应用中，特别是那些利用service worker来增强离线能力或进行网络请求拦截（如渐进式web应用，twa）的场景，高效且安全地管理认证令牌至关重要。当这些令牌需要周期性刷新时，如何确保所有并发的网络请求都能可靠地使用最新、最有效的令牌，成为了一个复杂的同步挑战。简单地获取新令牌并不能保证所有挂起的请求都会等待新令牌；它们可能会使用过期或缺失的令牌，导致认证失败。

核心机制：利用Promise实现请求同步

在处理动态令牌时，一个常见的误区是试图去修改一个已经存在的Promise对象。然而，Promise一旦被resolve或reject，其状态和值便不可更改。要实现动态更新和请求同步，正确的策略并非修改Promise本身，而是通过替换存储Promise的变量来引用一个新的Promise。当令牌需要更新时，我们创建一个新的Promise来代表这次令牌获取操作，并将其赋值给原先的变量。所有后续或正在等待的请求，只需await这个变量，便能自动等待到最新的令牌值。

这种方法巧妙地利用了Promise的链式调用和异步等待特性：

• 当currentTokenPromise处于pending状态时（即正在获取新令牌），所有await currentTokenPromise的请求都会暂停执行，直到该Promise被resolve。
• 当currentTokenPromise被resolve后，所有等待的请求都会立即获取到最新的令牌值并继续执行。
• 当令牌需要刷新时，我们简单地将currentTokenPromise指向一个新的fetchAuthToken()返回的Promise，从而实现无缝的更新。

实现细节与示例

以下代码展示了如何在Service Worker中实现这一机制，包括令牌的初始化、定时刷新以及网络请求如何利用这个动态更新的令牌。

// 假设这是一个用于异步获取新认证令牌的函数
async function fetchAuthToken() {
  console.log("正在获取新的认证令牌...");
  return new Promise((resolve, reject) => {
    // 模拟网络请求和潜在的延迟
    setTimeout(() => {
      const success = Math.random() > 0.1; // 模拟90%成功率
      if (success) {
        const newToken = `auth_token_${Date.now()}`; // 生成一个模拟新令牌
        console.log("认证令牌已获取:", newToken);
        resolve(newToken);
      } else {
        console.error("认证令牌获取失败！");
        reject(new Error("Failed to fetch token"));
      }
    }, 1500); // 模拟网络延迟
  });
}

// 存储当前认证令牌的Promise。
// Service Worker启动时，首次获取令牌。
let currentTokenPromise = fetchAuthToken();

// 设置定时器，每隔15分钟刷新令牌
const TOKEN_REFRESH_INTERVAL_MS = 15 * 60 * 1000; // 15分钟
let tokenRefreshTimer = setInterval(() => {
  console.log("定时刷新令牌触发...");
  // 关键：将currentTokenPromise替换为新的fetchAuthToken()返回的Promise
  currentTokenPromise = fetchAuthToken().catch(error => {
    console.error("定时刷新令牌失败:", error);
    // 刷新失败时，可以考虑将currentTokenPromise置为null或重新触发一次获取
    // 具体的错误处理策略将在下一节讨论
    return Promise.reject(error); // 继续传递错误
  });
}, TOKEN_REFRESH_INTERVAL_MS);

// 网络请求函数，使用当前令牌进行授权
async function makeAuthorizedRequest(url, options = {}) {
  try {
    const token = await currentTokenPromise; // 等待当前令牌Promise解析
    console.log(`[${new Date().toLocaleTimeString()}] 使用令牌 ${token} 发送请求到 ${url}`);

    // 实际的fetch请求，将令牌添加到请求头
    const response = await fetch(url, {
      ...options,
      headers: {
        ...options.headers,
        'Authorization': `Bearer ${token}`
      }
    });
    if (!response.ok) {
        throw new Error(`HTTP error! status: ${response.status}`);
    }
    return response;
  } catch (error) {
    console.error(`[${new Date().toLocaleTimeString()}] 请求 ${url} 失败:`, error);
    // 根据实际情况处理错误，例如抛出、返回特定响应等
    throw error;
  }
}

// 示例：在Service Worker的fetch事件中如何使用
// self.addEventListener('fetch', event => {
//   const requestUrl = new URL(event.request.url);
//   // 假设只有特定的API路径需要授权
//   if (requestUrl.pathname.startsWith('/api/protected/')) {
//     event.respondWith(makeAuthorizedRequest(event.request.url, {
//       method: event.request.method,
//       body: event.request.body,
//       headers: event.request.headers
//     }));
//   } else {
//     // 对于不需要授权的请求，直接进行网络请求
//     event.respondWith(fetch(event.request));
//   }
// });

// 模拟首次加载后立即发起的请求
// makeAuthorizedRequest("/api/protected/data1");
// makeAuthorizedRequest("/api/protected/data2");

// 模拟在令牌刷新期间发起的请求
// setTimeout(() => {
//   makeAuthorizedRequest("/api/protected/data3");
// }, TOKEN_REFRESH_INTERVAL_MS / 2); // 在刷新周期中间发起

// 模拟刷新后立即发起请求
// setTimeout(() => {
//   makeAuthorizedRequest("/api/protected/data4");
// }, TOKEN_REFRESH_INTERVAL_MS + 500);

代码解析：

• fetchAuthToken()：这是一个异步函数，负责从后端获取新的认证令牌。
• currentTokenPromise：一个关键变量，它始终持有代表“当前有效令牌”的Promise。当Service Worker启动时，它会通过调用fetchAuthToken()进行初始化。
• setInterval()：每隔预设时间（例如15分钟），它会再次调用fetchAuthToken()，并将返回的新Promise赋值给currentTokenPromise。这正是实现令牌动态更新的核心。
• makeAuthorizedRequest()：所有需要认证的网络请求都会通过此函数发送。它使用await currentTokenPromise来确保在发送请求之前，已经获取到最新的有效令牌。如果currentTokenPromise正在等待新令牌，makeAuthorizedRequest将自动暂停，直到新令牌可用。

健壮性与错误处理

上述机制虽然能有效同步请求，但并未完全考虑 fetchAuthToken() 自身可能失败的情况。如果 fetchAuthToken() 返回一个被拒绝（rejected）的Promise，那么 currentTokenPromise 将会永久保持拒绝状态，导致所有依赖它的网络请求都会失败，直到下一个定时刷新周期。为了增强系统的健壮性，我们需要引入更完善的错误处理策略：

1. 失败后重置与按需重试： 当 fetchAuthToken() 失败时，可以将 currentTokenPromise 设置为 null 或一个特殊的拒绝Promise。在 makeAuthorizedRequest 尝试获取令牌时，如果发现 currentTokenPromise 为 null 或已拒绝，则触发一次即时重试 fetchAuthToken()，并更新 currentTokenPromise。这样可以避免长时间的服务中断。

   let currentTokenPromise = null;
   let tokenRefreshTimer = null;
   const TOKEN_REFRESH_INTERVAL_MS = 15 * 60 * 1000;
   
   async function getOrFetchToken() {
       if (!currentTokenPromise) {
           console.log("令牌Promise为空或已失效，尝试重新获取...");
           currentTokenPromise = fetchAuthToken().catch(error => {
               console.error("令牌获取失败:", error);
               currentTokenPromise = null; // 失败后重置，以便下次请求时重试
               if (tokenRefreshTimer) clearInterval(tokenRefreshTimer); // 停止旧的定时器
               tokenRefreshTimer = null;
               throw error; // 继续抛出错误，让请求处理
           });
   
           // 首次成功获取或失败重试成功后，启动或重置定时器
           currentTokenPromise.then(() => {
               if (tokenRefreshTimer) clearInterval(tokenRefreshTimer);
               tokenRefreshTimer = setInterval(() => {
                   console.log("定时刷新令牌触发...");
                   currentTokenPromise = fetchAuthToken().catch(error => {
                       console.error("定时刷新令牌失败:", error);
                       currentTokenPromise = null; // 刷新失败也重置
                       if (tokenRefreshTimer) clearInterval(tokenRefreshTimer);
                       tokenRefreshTimer = null;
                       return Promise.reject(error);
                   });
               }, TOKEN_REFRESH_INTERVAL_MS);
           });
       }
       return currentTokenPromise;
   }
   
   async function makeAuthorizedRequest(url, options = {}) {
       try {
           const token = await getOrFetchToken(); // 总是通过这个函数获取
           console.log(`[${new Date().toLocaleTimeString()}] 使用令牌 ${token} 发送请求到 ${url}`);
           const response = await fetch(url, {
               ...options,
               headers: {
                   ...options.headers,
                   'Authorization': `Bearer ${token}`
               }
           });
           if (!response.ok) {
               throw new Error(`HTTP error! status: ${response.status}`);
           }
           return response;
       } catch (error) {
           console.error(`[${new Date().toLocaleTimeString()}] 请求 ${url} 失败:`, error);
           throw error;
       }
   }
   
   // 初始化时调用一次，确保currentTokenPromise被设置并启动定时器
   getOrFetchToken();

   登录后复制

   这个改进版本确保了在令牌获取失败时，系统不会无限期地卡住，而是有机会在下一个请求到来时进行重试，并能动态地管理定时器。

   

   乾坤圈新媒体矩阵管家

   新媒体账号、门店矩阵智能管理系统

   17

   查看详情

2. 指数退避重试： 对于更复杂的生产环境，可以考虑在 fetchAuthToken 内部或外部包装一个指数退避重试逻辑，以避免在后端服务暂时不可用时，Service Worker持续高频地尝试获取令牌，造成不必要的负载。

3. 熔断机制： 当令牌获取连续失败达到一定次数后，可以触发熔断机制，暂时停止令牌刷新，并向主应用报告问题，直至问题解决或达到恢复条件。

Service Worker集成考量

在Service Worker环境中，上述逻辑通常会集成到 fetch 事件监听器中。当Service Worker拦截到一个需要授权的网络请求时，它会调用 makeAuthorizedRequest 函数来处理该请求，从而确保所有出站请求都携带最新的有效令牌。这种模式将认证逻辑与应用的核心业务逻辑解耦，提高了代码的可维护性和安全性。同时，Service Worker的生命周期管理也需要注意，确保这些异步操作在Service Worker激活期间能够正常运行。

总结

通过巧妙地利用JavaScript Promise的特性，我们可以在Service Worker中实现一套高效且健壮的动态认证令牌管理系统。关键在于理解Promise的不可变性，并采用替换Promise引用的方式来同步令牌的更新与网络请求。结合适当的错误处理和重试机制，可以确保即使在令牌刷新或获取失败的情况下，应用也能保持稳定运行，为用户提供流畅且安全的体验。这种模式不仅适用于认证令牌，也可推广到Service Worker中其他需要动态更新和同步访问的共享异步资源管理场景。

以上就是Service Worker认证令牌管理：异步更新与请求同步的最佳实践的详细内容，更多请关注php中文网其它相关文章！