JWT刷新令牌应该如何设计才能避免多次请求时的重复验证?
我在做文件上传功能时发现,当用户同时上传多个文件时,每个文件请求都会带着JWT访问接口,但遇到令牌过期的情况,所有请求都会触发刷新逻辑。比如这样:
axios.interceptors.response.use(
response => response,
error => {
if (error.response.status === 401 && !error.config.sentRefresh) {
return refreshToken().then(newToken => {
error.config.headers.Authorization = Bearer ${newToken};
error.config.sentRefresh = true;
return axios(error.config);
});
}
return Promise.reject(error);
}
);
虽然加了sentRefresh标记避免重复刷新,但实际测试时发现:当第一个请求触发刷新时,第二个请求可能在第一个刷新完成前也进入拦截器,导致重复发起刷新请求。有没有更好的方式让多个并发请求共享同一个刷新流程?
另外发现如果用户同时打开多个标签页上传文件,不同标签页的刷新请求会覆盖彼此的token,这样其他标签页的请求又会失效,这该怎么处理?
- 2
回答
45浏览
JWT刷新时旧token未及时回收导致重复登录怎么解决?
我在用JWT做登录鉴权时遇到个问题,用户在A设备刷新token后,旧token居然还能在B设备正常登录,这样用户明明退出了怎么还会被绕过? 我的实现逻辑是这样的:用户登录成功后存储token到loca...
- 1
回答
20浏览
前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请...
- 1
回答
13浏览
空状态页面如何设计才能提升用户留存?有没有具体优化技巧?
最近在做电商商品列表页的空状态优化,现在用的是简单的div显示“暂无商品”和一个刷新按钮,但用户流失率很高。试过加个插画和文案,但转化率没明显变化,该怎么提升互动呢? 之前参考了其他平台案例,发现有的...
- 2
回答
21浏览
OAuth2.0静默刷新时怎么避免重复发送refresh_token请求?
我在做前端静默刷新访问令牌时遇到个问题,当用户快速切换页面时,多个定时器同时触发导致重复发送了refresh_token请求。比如这样写的: let refreshTimeout; function ...
- 2
回答
55浏览
PWA服务工作者更新后,用户如何自动获取新版本而不手动刷新?
我在React项目里用了PWA,服务工作者注册没问题,但发现用户更新时得手动刷新才能看到新内容。我尝试在useEffect里检查更新: if ('serviceWorker' in navigator...
- 2
回答
39浏览
前端鉴权时,如何防止他人伪造用户权限标识?
我现在在做项目权限控制,用JWT存了用户角色信息。前端通过请求头携带权限标识,但发现直接存字符串太容易被篡改了。试过用加密和签名,但别人拿到token后还是能解密出权限字段随意修改。 比如用户本应该是...
- 1
回答
11浏览
history模式下刷新页面报404,如何解决?
用Vue Router的history模式开发单页应用时,点击链接跳转没问题,但直接刷新页面就报404。比如访问/user/profile会提示资源未找到。 我配置了路由: const router ...
- 2
回答
12浏览
流程设计器节点拖拽后位置不更新,如何解决?
用Konva.js做流程设计器时,节点拖拽后坐标没及时更新。我监听了dragend事件,用setPosition手动更新,但节点总偏移原位置。之前尝试过在回调里同步状态到React组件,发现Konva...
- 2
回答
26浏览
权限缓存过期后如何防止页面刷新导致权限失效?
我现在在做前端权限控制,把用户的权限列表存在localStorage里,但发现缓存过期后页面刷新就会失效。之前试过设置过期时间和自动刷新,但这样页面刷新时还是会有一段时间没有权限校验,这样会不会有安全...
- 1
回答
14浏览
Vue表单提交时如何同时实现CSRF防护和验证码验证?
在开发登录表单时,我需要同时处理CSRF防护和验证码验证。现在遇到的问题是:当用户刷新验证码时,CSRF令牌没有同步更新,导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌,但发...
let isRefreshing = null;
let subscribers = [];
axios.interceptors.response.use(
response => response,
error => {
if (error.response.status === 401 && !error.config.sentRefresh) {
if (!isRefreshing) {
isRefreshing = refreshToken();
isRefreshing.then(() => {
subscribers.forEach(cb => cb());
subscribers = [];
isRefreshing = null;
});
}
error.config.sentRefresh = true;
return new Promise(resolve => {
subscribers.push(() => {
error.config.headers.Authorization =
Bearer ${localStorage.getItem('token')};resolve(axios(error.config));
});
});
}
return Promise.reject(error);
}
);
window.addEventListener('storage', e => {
if (e.key === 'token') {
localStorage.setItem('token', e.newValue);
}
});