Token过期后怎么自动刷新还不让用户感知?
我在用 JWT 做用户认证,前端每次请求都带 Authorization: Bearer xxx。但 token 一小时就过期,过期后接口返回 401,用户就得重新登录,体验太差了。
我看别人说可以用 refresh token 自动续期,但我试了下,在 axios 的 response interceptor 里拦截 401 后去请求新 token,结果发现如果多个请求同时触发 401,会发好几次刷新请求,还可能拿不到最新的 access token。有没有靠谱的处理方式?
axios.interceptors.response.use(
res => res,
async err => {
if (err.response?.status === 401) {
const newToken = await refreshToken(); // 这里并发会出问题
localStorage.setItem('token', newToken);
// 重试原请求...
}
}
);- 2
回答
31浏览
CSRF Token 刷新后前端怎么同步更新?
我在用 Axios 拦截器处理 CSRF Token 过期的情况,后端返回 419 时会刷新 token 并在响应头里带新的 XSRF-TOKEN。但我不确定怎么安全地把新 token 应用到后续请求...
- 2
回答
75浏览
JWT刷新时旧token未及时回收导致重复登录怎么解决?
我在用JWT做登录鉴权时遇到个问题,用户在A设备刷新token后,旧token居然还能在B设备正常登录,这样用户明明退出了怎么还会被绕过? 我的实现逻辑是这样的:用户登录成功后存储token到loca...
- 2
回答
38浏览
JWT过期后如何自动刷新而不让用户重新登录?
我用JWT做用户认证,token一小时过期。现在的问题是,用户操作到一半突然跳回登录页,体验太差了。我看别人说可以用refresh token自动续期,但具体怎么在前端安全地实现? 我试过在每次请求前...
- 2
回答
119浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
- 2
回答
36浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
- 2
回答
77浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
- 1
回答
49浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 1
回答
161浏览
CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。 尝试过把token放在...
- 1
回答
27浏览
LocalStorage 缓存用户数据后页面刷新就失效了?
我在做一个简单的用户登录状态保持功能,把 token 存到 LocalStorage 里,但每次刷新页面后读取不到,或者读出来是 null。明明之前 setItem 成功了,控制台也没报错,是不是我读...
- 1
回答
21浏览
前端怎么安全地处理 CSRF Token?
我在做登录功能时,后端要求每次请求都要带 CSRF Token,但我把 token 存在 Cookie 里,又怕被 XSS 攻击偷走。试过用 HttpOnly 的 Cookie,但前端又读不到 tok...
暂无解答