OAuth2.0静默刷新时怎么避免重复发送refresh_token请求?
我在做前端静默刷新访问令牌时遇到个问题,当用户快速切换页面时,多个定时器同时触发导致重复发送了refresh_token请求。比如这样写的:
let refreshTimeout;
function startRefresh() {
refreshTimeout = setTimeout(() => {
axios.post('/api/refresh', { refresh_token })
.then(res => localStorage.setItem('access_token', res.data.token));
}, 350000);
}
后来尝试用防抖函数改成了:
function debounceRefresh(func, delay) {
let timer;
return (...args) => {
clearTimeout(timer);
timer = setTimeout(() => func.apply(this, args), delay);
};
}
但后端还是返回了”refresh_token已被使用”的错误,看起来多个请求还是在同时到达。有没有更好的方式让静默刷新既可靠又不会重复请求?
- 2
回答
38浏览
前端用localStorage存Refresh Token被恶意调用,怎么防?
我在项目里用JWT方案,把Refresh Token存在localStorage里,但测试时发现如果前端页面被XSS攻击,Refresh Token会被直接窃取。虽然Access Token设置了短时...
- 2
回答
22浏览
Postman中如何正确设置OAuth2.0认证参数?遇到401错误怎么办?
我在用Postman测试一个需要OAuth2.0认证的API,按照文档设置了Client ID和Client Secret,但一直返回401 Unauthorized。尝试过把Token Type设成...
- 2
回答
45浏览
JWT刷新时旧token未及时回收导致重复登录怎么解决?
我在用JWT做登录鉴权时遇到个问题,用户在A设备刷新token后,旧token居然还能在B设备正常登录,这样用户明明退出了怎么还会被绕过? 我的实现逻辑是这样的:用户登录成功后存储token到loca...
- 2
回答
26浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
- 1
回答
30浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 2
回答
109浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
- 2
回答
63浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
- 1
回答
147浏览
CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。 尝试过把token放在...
- 2
回答
71浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
- 2
回答
23浏览
Double Submit Cookie的token怎么传到请求头里?
我按照文档做了Double Submit Cookie防护,但测试时发现后端收不到CSRF-TOKEN的请求头,只能拿到cookie里的值。这是为什么啊? 我的登录表单这样写的: document.c...
我的做法是用一个 pending 状态来标记是否已经在刷新,如果已经有请求在跑了,后续的触发就直接跳过。代码大概是这样的:
let isRefreshing = false;
let refreshPromise = null;
function refreshToken() {
if (isRefreshing) {
return refreshPromise;
}
isRefreshing = true;
refreshPromise = new Promise((resolve, reject) => {
axios.post('/api/refresh', { refresh_token })
.then(res => {
localStorage.setItem('access_token', res.data.token);
resolve(res.data.token);
})
.catch(err => {
reject(err);
})
.finally(() => {
isRefreshing = false;
refreshPromise = null;
});
});
return refreshPromise;
}
然后你 startRefresh 的时候用这个函数就行。这个方案的好处是,不管定时器怎么触发,真正的刷新逻辑只会执行一次。其他调用都会复用同一个 Promise。
另外建议在拦截器里面做 token 的刷新管理,而不是用定时器。比如判断 token 过期时间,或者在每次请求失败的时候尝试刷新 token。这样更符合实际请求需求,也更容易做并发控制。
你得加一个「刷新中」的状态锁,比如:
let isRefreshing = false;
let refreshPromise = null;
function refreshToken() {
if (isRefreshing) {
return refreshPromise;
}
isRefreshing = true;
refreshPromise = axios.post('/api/refresh', { refresh_token })
.then(res => {
const newToken = res.data.token;
localStorage.setItem('access_token', newToken);
return newToken;
})
.finally(() => {
isRefreshing = false;
});
return refreshPromise;
}
这样不管多少个地方同时调用 refreshToken,都只会发一次请求,后面的都等同一个 promise 返回。
另外,定时器那边可以继续用 debounce 或 setTimeout 控制触发时机,但核心得靠这个状态锁来保证只有一个刷新过程在进行。
我当时也踩过这坑,前端静默刷新一定要加这个状态锁,不然 refresh_token 很容易被后端标记为重复使用。