本文详细阐述了如何利用 axios 拦截器实现 access token 的自动刷新机制。针对 access token 过期导致的 403 未授权错误,通过配置响应拦截器,在检测到特定错误码时,自动触发令牌刷新流程,更新授权头部并重试原请求,从而提升用户体验,避免频繁重新登录。
在现代 Web 应用中,为了增强安全性,Access Token 通常会设置较短的有效期(例如一小时)。当 Access Token 过期后,客户端向受保护资源发起请求时,服务器会返回 401 Unauthorized 或 403 Forbidden 错误,导致用户需要重新登录才能继续操作,这严重影响了用户体验。为了解决这一问题,我们需要一种机制在 Access Token 过期时,能够静默地自动获取新的 Access Token。
Axios 作为流行的 HTTP 客户端库,提供了强大的拦截器(Interceptors)功能,允许我们在请求发送前或响应返回后进行处理。利用响应拦截器,我们可以捕获 HTTP 错误,并在 Access Token 过期时执行刷新操作。
实现 Access Token 自动刷新的核心在于配置 Axios 的响应拦截器。当一个 HTTP 请求返回错误时,拦截器会检查错误状态码。如果检测到 403 Unauthorized 错误,并且该请求之前没有被重试过,拦截器将尝试刷新 Access Token,然后用新的 Access Token 重新发起原始请求。
具体实现步骤如下:
以下是实现这一逻辑的示例代码:
import axios from 'axios';
// 假设您有一个预配置的 Axios 实例
const axiosApiInstance = axios.create({
baseURL: '/api', // 您的 API 基础路径
timeout: 10000,
headers: {
'Content-Type': 'application/json',
// 初始的 Authorization header 可以在登录时设置
}
});
// 模拟刷新 Access Token 的函数
// 在实际应用中,此函数会使用 Refresh Token 调用认证服务接口
async function refreshAccessToken() {
console.log("尝试刷新 Access Token...");
// 假设这里调用了一个 API 来获取新的 Access Token
// 例如:const response = await axios.post('/auth/refresh-token', { refreshToken: storedRefreshToken });
// const newAccessToken = response.data.accessToken;
// 实际项目中,需要从本地存储获取 refreshToken,并更新本地存储的 accessToken
// 模拟异步操作
return new Promise(resolve => {
setTimeout(() => {
const newAccessToken = 'new_access_token_' + Date.now();
console.log("Access Token 刷新成功:", newAccessToken);
// 在这里您可能还需要更新本地存储的 refreshToken
resolve(newAccessToken);
}, 1500);
});
}
// 响应拦截器
axiosApiInstance.interceptors.response.use(
(response) => {
// 如果响应成功,直接返回
return response;
},
async function (error) {
const originalRequest = error.config;
// 检查是否为 403 错误且未重试过
// error.response 存在且状态码为 403,并且 originalRequest._retry 为 false (未重试过)
if (error.response && error.response.status === 403 && !originalRequest._retry) {
originalRequest._retry = true; // 标记为已重试
try {
// 尝试刷新 Access Token
const newAccessToken = await refreshAccessToken();
// 更新 Axios 实例的默认授权头部,影响所有后续请求
axiosApiInstance.defaults.headers.common['Authorization'] = 'Bearer ' + newAccessToken;
// 更新原始请求的授权头部,以便重新发送
originalRequest.headers['Authorization'] = 'Bearer ' + newAccessToken;
// 重新发送原始请求
return axiosApiInstance(originalRequest);
} catch (refreshError) {
console.error("Access Token 刷新失败:", refreshError);
// 如果刷新失败,或者 refreshAccessToken 函数内部决定重定向,
// 则可以导向登录页面,并清除本地存储的令牌信息
// window.location.href = '/login?error=session_expired';
return Promise.reject(refreshError); // 拒绝Promise,将错误传递下去
}
}
// 对于其他错误或已重试的 403 错误,直接拒绝Promise
return Promise.reject(error);
}
);
// 示例用法
async function fetchData() {
try {
// 假设在某些情况下,需要手动设置 Authorization header,或者它已经在登录时设置
// axiosApiInstance.defaults.headers.common['Authorization'] = 'Bearer ' + 'expired_access_token';
const response = await axiosApiInstance.get('/protected-data');
console.log("获取受保护数据成功:", response.data);
} catch (error) {
console.error("获取受保护数据失败:", error.response ? error.response.data : error.message);
}
}
// 模拟一个需要 Access Token 的请求
// fetchData();refreshAccessToken 函数是整个自动刷新机制的关键。在实际应用中,它通常会执行以下操作:
通过巧妙地利用 Axios 拦截器,我们可以构建一个健壮的 Access Token 自动刷新机制。这不仅解决了 Access Token 短有效期带来的用户体验问题,减少了用户频繁登录的困扰,也提升了应用程序的整体可用性和专业性。正确实现这一机制,包括考虑 Refresh Token 的安全性、刷新失败的优雅处理以及并发请求的优化,是构建现代安全 Web 应用的关键一环。
以上就是使用 Axios 拦截器实现 Access Token 自动刷新机制的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
333
