注意:我已经将客户端(Vue.js)和服务器(DjangoRest)分开了。 我正在使用JWT来验证从客户端到服务器的每个请求。 流- 客户端将用户凭据发送到服务器。如果凭据有效,服务器将发回刷新和访问令牌。客户端存储访问和刷新令牌。 我将刷新令牌的有效期限设置为1周,可以访问30分钟。接下来,我要确保访问令牌在到期前15分钟会自动刷新。为此,将客户端存储的刷新令牌发送到服务器,然后服务器发出新的访问令牌和刷新令牌,然后将其发送回客户端。我如何在Vuex商店中实现这一点?我是Web开发和vue.js的完全新手。如果有人可以提供一些代码或详细解释,那将是很好的。
我已经在商店中实现了loginUser,注销用户,registerUser,它们工作正常。但是我坚持使用自动刷新逻辑。 我的猜测是客户端必须反复检查剩余的访问令牌到期时间。剩下约15分钟时,我们必须初始化自动刷新功能。请以这种逻辑帮助我。
这是我的Vueex商店:
import Vue from 'vue'
import Vuex from 'vuex'
import axiosBase from './api/axios-base'
Vue.use(Vuex)
export default new Vuex.Store({
state: {
accessToken: '' || null,
refreshToken: '' || null
},
getters: {
loggedIn (state) {
return state.accessToken != null
}
},
mutations: {
loginUser (state) {
state.accessToken = localStorage.getItem('access_token')
state.refreshToken = localStorage.getItem('refresh_token')
},
destroyToken (state) {
state.accessToken = null
state.refreshToken = null
}
},
actions: {
registerUser (context, data) {
return new Promise((resolve, reject) => {
this.axios.post('/register', {
name: data.name,
email: data.email,
username: data.username,
password: data.password,
confirm: data.confirm
})
.then(response => {
resolve(response)
})
.catch(error => {
reject(error)
})
})
},
// fetch data from api whenever required.
backendAPI (context, data) {
},
logoutUser (context) {
if (context.getters.loggedIn) {
return new Promise((resolve, reject) => {
axiosBase.post('/api/token/logout/')
.then(response => {
localStorage.removeItem('access_token')
localStorage.removeItem('refresh_token')
context.commit('destroyToken')
})
.catch(error => {
context.commit('destroyToken')
resolve()
})
})
}
},
autoRefresh (context, credentials) {
},
loginUser (context, credentials) {
return new Promise((resolve, reject) => {
axiosBase.post('/api/token/', {
username: credentials.username,
password: credentials.password
})
.then(response => {
localStorage.setItem('access_token', response.data.access)
localStorage.setItem('refresh_token', response.data.refresh)
context.commit('loginUser')
resolve(response)
})
.catch(error => {
console.log(error)
reject(error)
})
})
}
}
})
谢谢。
答案 0 :(得分:1)
正如您所指出的,这是一个非常主意的问题,因此,有很多解决方法。
在处理此类机制时,我要牢记的一件事是始终避免在可能的情况下进行轮询。这是受该设计原则启发的解决方案。
JWT令牌在非常特定的时间内有效。剩余的到期时间可以很容易地用作访问令牌的一部分。您可以使用诸如jwt-decode之类的库来解码访问令牌并提取到期时间。 拥有到期时间后,您可以使用以下几个选项:
setTimeout定期刷新,直到过期前X秒您的代码可以如下实现:
注意:请将以下内容视为伪代码。我没有测试它的错误-语法或其他。
export default new Vuex.Store({
...
actions: {
refreshTokens (context, credentials) {
// Do whatever you need to do to exchange refresh token for access token
...
// Finally, call autoRefresh to set up the new timeout
dispatch('autoRefresh', credentials)
},
autoRefresh (context, credentials) {
const { state, commit, dispatch } = context
const { accessToken } = state
const { exp } = jwt_decode(accessToken)
const now = Date.now() / 1000 // exp is represented in seconds since epoch
let timeUntilRefresh = exp - now
timeUntilRefresh -= (15 * 60) // Refresh 15 minutes before it expires
const refreshTask = setTimeout(() => dispatch('refreshTokens', credentials), timeUntilRefresh)
commit('refreshTask', refreshTask) // In case you want to cancel this task on logout
}
}
})
答案 1 :(得分:0)
我认为最好依靠服务器响应代码而不是到期时间。 尝试访问受保护的路由,如果返回401,则请求一个新的访问令牌,然后重试。 如果您的刷新路由也返回401,请让您的用户再次登录。
在这里,我们使用此流程。我是后端开发人员,所以我将用伪代码进行解释。 您可以毫无问题地在Vuex中实现拦截器。
res = router.desiredRoute();
// if not authorized, get a new access token from refresh route
if(res === 401) {
refreshRes = router.refreshRoute();
// if not authorized again, you need a new refresh
if(refreshRes === 401) {
logout();
router.loginPage();
} else {
// store your new access token an go to desired route again
storeAccessToken()
router.desiredRoute();
}
}