本文旨在提供一个全面的教程，指导开发者如何利用axios拦截器实现访问令牌（access token）的自动化刷新机制。通过捕获http 403未授权错误，并在后台静默刷新过期令牌，确保用户会话的连续性，避免频繁的登录操作，从而提升用户体验和应用的安全性。

理解访问令牌与刷新机制

在现代Web应用中，为了保护API资源，通常采用基于令牌的认证机制。用户成功登录后，服务器会颁发一个访问令牌（Access Token）和一个刷新令牌（Refresh Token）。访问令牌用于授权用户访问受保护的资源，但其通常具有较短的有效期（例如一小时），以降低令牌泄露的风险。当访问令牌过期时，客户端需要获取一个新的访问令牌。手动要求用户重新登录不仅体验差，也效率低下。因此，实现访问令牌的自动化刷新变得至关重要。

刷新令牌通常具有较长的有效期，并用于在访问令牌过期后，向认证服务器请求新的访问令牌。这个过程应该对用户透明，即在不打断用户操作的情况下完成。

利用Axios拦截器实现自动刷新

Axios作为一款流行的HTTP客户端库，提供了强大的拦截器功能，允许我们在请求发送前或响应返回后进行处理。这使得Axios拦截器成为实现自动令牌刷新机制的理想选择。

核心思路

1. 响应拦截： 监听所有HTTP响应。
2. 错误捕获： 当接收到HTTP 403（未授权）状态码时，表明当前访问令牌可能已过期或无效。
3. 令牌刷新： 在后台使用刷新令牌向认证服务器请求新的访问令牌。
4. 重试请求： 使用新的访问令牌重新发起原始失败的请求。
5. 错误处理： 如果刷新令牌也失效，或者刷新过程失败，则引导用户重新登录。

实现步骤与代码示例

我们将通过一个Axios响应拦截器的具体实现来展示这一过程。

AI Surge Cloud

低代码数据分析平台，帮助企业快速交付深度数据

87 查看详情

首先，确保你已经配置了Axios实例，并可能在请求头中设置了默认的Authorization字段。

import axios from 'axios';

// 创建一个Axios实例，便于管理和配置
const axiosApiInstance = axios.create({
  baseURL: 'YOUR_API_BASE_URL', // 替换为你的API基础URL
  headers: {
    'Content-Type': 'application/json',
    // 初始时可能没有Authorization头，或者从本地存储加载
  },
});

// 模拟一个用于刷新访问令牌的函数
// 实际应用中，此函数会使用refresh token向认证服务器请求新的access token
async function refreshAccessToken() {
  try {
    // 假设你的刷新令牌存储在某个地方，例如localStorage
    const refreshToken = localStorage.getItem('refreshToken');
    if (!refreshToken) {
      throw new Error('No refresh token found');
    }

    // 实际的API调用，用于获取新的access token
    // 例如：
    const response = await axios.post('YOUR_AUTH_REFRESH_ENDPOINT', {
      refreshToken: refreshToken,
    });

    const { accessToken: newAccessToken, refreshToken: newRefreshToken } = response.data;

    // 更新本地存储的令牌
    localStorage.setItem('accessToken', newAccessToken);
    if (newRefreshToken) { // 如果刷新令牌也可能更新
      localStorage.setItem('refreshToken', newRefreshToken);
    }

    return newAccessToken;
  } catch (error) {
    console.error('Failed to refresh access token:', error);
    // 在这里可以处理刷新失败的情况，例如清除所有令牌并重定向到登录页
    localStorage.removeItem('accessToken');
    localStorage.removeItem('refreshToken');
    window.location.href = '/login'; // 重定向到登录页
    throw error; // 抛出错误以便拦截器后续处理
  }
}

// 响应拦截器
axiosApiInstance.interceptors.response.use(
  (response) => {
    // 如果响应成功，直接返回
    return response;
  },
  async function (error) {
    const originalRequest = error.config;

    // 检查是否是403错误，并且该请求之前没有被重试过
    // _retry 标志用于防止无限循环重试
    if (error.response && error.response.status === 403 && !originalRequest._retry) {
      originalRequest._retry = true; // 标记为已重试

      try {
        const newAccessToken = await refreshAccessToken();
        // 更新Axios实例的默认Authorization头，以便后续请求使用新令牌
        axiosApiInstance.defaults.headers.common['Authorization'] = 'Bearer ' + newAccessToken;
        // 更新原始请求的Authorization头，然后重新发送该请求
        originalRequest.headers['Authorization'] = 'Bearer ' + newAccessToken;
        return axiosApiInstance(originalRequest); // 使用更新后的配置重新发送原始请求
      } catch (refreshError) {
        // 刷新令牌失败，可能是刷新令牌也过期了，或者其他错误
        // 此时应重定向用户到登录页面
        console.error('Token refresh failed, redirecting to login:', refreshError);
        // refreshAccessToken函数内部已经处理了重定向，这里可以再次确认
        // 或者抛出错误，让调用方处理
        return Promise.reject(refreshError);
      }
    }

    // 对于其他错误，或者已经重试过的403错误，直接拒绝Promise
    return Promise.reject(error);
  }
);

// 导出Axios实例供应用使用
export default axiosApiInstance;

// 在应用启动时，可以从localStorage加载access token并设置到axiosApiInstance
const storedAccessToken = localStorage.getItem('accessToken');
if (storedAccessToken) {
  axiosApiInstance.defaults.headers.common['Authorization'] = 'Bearer ' + storedAccessToken;
}

代码解析

1. axiosApiInstance.interceptors.response.use(...): 这是Axios响应拦截器的入口。它接收两个函数：一个用于处理成功响应，另一个用于处理错误响应。
2. originalRequest = error.config: 在错误处理函数中，我们可以访问到原始请求的配置对象，这对于重试请求至关重要。
3. if (error.response.status === 403 && !originalRequest._retry): 这是核心逻辑。我们检查：
   • 响应状态码是否为403（未授权）。
   • originalRequest._retry 标志是否为false。这个自定义标志非常重要，它确保一个请求只会被重试一次，防止在刷新令牌失败时陷入无限循环。
4. originalRequest._retry = true: 在尝试刷新令牌之前，将_retry标志设置为true。
5. await refreshAccessToken(): 调用refreshAccessToken函数来获取新的访问令牌。这个函数应该负责：
   • 使用存储的刷新令牌向认证服务器发送请求。
   • 成功后，更新本地存储中的访问令牌和刷新令牌（如果刷新令牌也更新了）。
   • 返回新的访问令牌。
   • 失败时，清除所有令牌并重定向到登录页。
6. axiosApiInstance.defaults.headers.common['Authorization'] = 'Bearer ' + newAccessToken;: 更新Axios实例的默认Authorization头。这确保了后续的所有请求都会使用新的访问令牌。
7. originalRequest.headers['Authorization'] = 'Bearer ' + newAccessToken;: 更新原始请求的Authorization头。这是为了确保即将被重试的那个特定请求能够携带新的令牌。
8. return axiosApiInstance(originalRequest);: 使用更新后的配置重新发送原始请求。由于这是一个异步操作，我们返回axiosApiInstance(originalRequest)的结果，它会是一个Promise。
9. return Promise.reject(error);: 如果不是403错误，或者已经是重试过的请求，或者刷新令牌失败，则直接拒绝Promise，将错误传递给调用方处理。

注意事项与最佳实践

• 刷新令牌的安全性： 刷新令牌通常具有较长的有效期，因此需要妥善保管。不应将其直接暴露在客户端代码中，应考虑使用HTTP-only cookie或更安全的存储机制。
• 并发请求处理： 如果在刷新令牌的过程中，有多个请求同时收到403错误，可能会导致多次尝试刷新令牌。这可以通过引入一个锁机制（例如，使用一个Promise来存储正在进行的刷新操作，所有需要刷新令牌的请求都等待这个Promise完成）来优化，确保只有一个刷新请求在执行。
• 用户体验： 在刷新令牌期间，可以显示一个加载指示器，告知用户正在处理中，避免用户误以为应用卡死。
• 错误处理粒度： refreshAccessToken函数内部应包含详细的错误处理逻辑，例如当刷新令牌本身也过期时，清除所有认证信息并强制用户重新登录。
• 登录页面的处理： 确保登录请求（/auth/login或其他认证端点）不会被拦截器误判为需要刷新令牌，通常可以在拦截器中排除这些特定路径。
• 服务器端配合： 确保认证服务器提供一个专门的刷新令牌端点，并且该端点能够正确验证刷新令牌并颁发新的访问令牌。

总结

通过Axios拦截器实现访问令牌的自动化刷新，是构建健壮和用户友好型Web应用的关键一环。这种机制能够无缝地处理令牌过期问题，显著提升用户体验，并为应用提供一层额外的安全保障。正确理解并实现这一机制，将使你的应用在用户认证和授权方面更加可靠和高效。

以上就是自动刷新访问令牌：基于Axios拦截器的实现指南的详细内容，更多请关注其它相关文章！

# json  # cookie  # app  # access  # axios  # js  # 这是  # 加载  # 重试  # 拦截器  # 令牌  # re  # api调用  # 状态码  # win  # ios  # ai  # 并发请求  # 怎么优化新站网站  # 优化网站价格对比软件  # 康保网站推广工具  # 优化网站源码的工具  # 营销推广方式ppt图片  # 做推广的几个网站有哪些  # 卢湾区网站推广  # 大塘seo优化培训  # 武威抖音关键词搜索排名服务  # 好的seo系统加盟代理  # 提供一个  # 重定向  # 客户端  # 这一  # 试过 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： 解决J*aScript中重复选择项的确认对话框显示问题  妖精漫画网页版登录入口免费_妖精漫画官网主页直接阅读漫画  J*a TimerTask中HashMap意外清空的深层原因与解决方案  单12V-2×6实现为RTX 5090供电750W！甚至都没敢跑分  如何创建独立于主系统的J*a运行环境_隔离式环境搭建策略  漫蛙官网正版漫画入口 漫蛙2官方网页登录地址  Win10怎么设置静态IP地址 Win10手动配置IP地址步骤【指南】  HTML5原生日期选择器与jQuery UI：实现日期选择器的联动与程序化控制  照顾宝贝2小游戏免费秒玩入口  J*aScript中针对特定容器内图片动画的实现教程  QQ官网正版登录链接 QQ在线登录入口最新  汽水音乐车机版横屏版7.1 汽水音乐车机版横屏版下载入口  126邮箱网页版官方入口 126邮箱账号在线登录平台  怎么去除衣服上的口红印_生活小妙招教你用酒精轻松擦除  Windows10怎么开启夜间模式 Windows10系统设置调整色温与亮度缓解夜间用眼疲劳【教程】  格力空气能E5故障代码是什么情况_格力空气能E5代码解析与应对措施  Spring Boot嵌入式服务器与J*a EE：功能支持深度解析  知乎APP怎么管理已购盐选内容_知乎APP盐选内容购买记录与查看方法  Composer如何在生产环境安全地执行composer update  Golang如何使用buffered channel提高性能_Golang buffered channel优化技巧  Python Socket多播通信中指定源IP地址的实践指南  lar*el怎么安全地存储和获取配置文件中的敏感信息_lar*el敏感信息安全存储方法  HTML转PPT成品工具有哪些？HTML网页转PPT成品工具大全  Word2013如何插入视频和音频媒体_Word2013媒体插入的多媒体支持  CSS子选择器：如何区分并样式化嵌套列表的子层级  Golang如何实现Web接口签名验证_Golang Web接口签名校验开发方法  AO3同人作品网入口 AO3搜索引擎官网永久地址  怎样使用“本地安全策略”提升Windows安全性_Secpol.msc配置指南【高手】  我的世界mc.js免费游戏直接能玩 我的世界mc.js小游戏免费秒玩入口  Windows 11怎么彻底关闭定位_Windows 11服务中禁用Geolocation  Win11怎么设置开机NumLock亮 Win11修改注册表InitialKeyboardIndicators值  C#中解析不规范的HTML为XML 常见的坑与解决办法  印象笔记如何设提醒任务防漏执行_印象笔记设提醒任务防漏执行【任务提醒】  钉钉视频会议声音异常如何处理 钉钉会议音频修复技巧  J*aScript设计模式实践_j*ascript代码优化  TikTok国际版官网直达_TikTok国际版官网直达进入在线观看  深入理解J*a链表中的IPosition接口与使用  mysql密码锁定怎么解锁_mysql密码锁定解锁后修改密码步骤  创客贴用户入口官网登录 创客贴网页版电脑版系统  构建轻量级网站内部消息系统：Formspree 集成指南  J*aScriptWebpack优化_J*aScript构建工具实战  cad如何更改注释性对象的比例_cad注释性比例调整方法  深入理解rpy2中的类型转换：优化Python对象到R矩阵的映射  内存检查：在VS Code中调试C++时的内存视图  网站内容防复制粘贴的实现策略与局限性  c++如何使用折叠表达式(Fold Expressions)_c++17可变参数模板新技巧  QQ邮箱网页版邮箱入口 QQ邮箱官方登录平台  漫蛙漫画官方主页入口 漫蛙MANWA网页直达访问链接  mc.js官网登录入口 mc.js官方登录入口最新版  PyTorch模型训练准确率不提升：诊断与修复常见指标计算错误