前端无感刷新Token实战:响应拦截器与并发请求优化
1. 为什么需要无感刷新Token
想象一下这个场景:你正在刷淘宝,突然页面弹出"登录已过期"的提示,所有操作都被中断,必须重新输入账号密码。这种体验就像看电影看到高潮时突然被要求重新买票,用户流失率会直线上升。
Token机制是现代Web应用的标准认证方式,但它的时效性就像牛奶的保质期。Access Token通常只有2小时有效期(比如银行类应用可能更短),而Refresh Token可以维持14天甚至更久。当Access Token过期时,传统做法是强制用户重新登录,这显然不够优雅。
我在实际项目中遇到过更棘手的情况:用户提交重要表单时Token突然过期,数据直接丢失。这种体验差到足以让用户卸载应用。无感刷新的核心价值就在于:让认证流程对用户透明,就像手机自动切换WiFi和4G网络那样自然。
2. 双Token机制的工作原理
双Token方案就像酒店的门卡系统:
- Access Token= 房间门卡(2小时失效)
- Refresh Token= 总台凭证(14天有效)
当门卡失效时,用总台凭证可以快速补办新门卡。技术实现上需要注意三个关键点:
- 安全隔离:Refresh Token绝不能用于业务请求,它的唯一作用就是获取新Access Token
- 时效控制:建议Access Token有效期2-4小时,Refresh Token 7-14天
- 存储策略:Vuex+localStorage双写确保刷新页面不丢失
// 典型登录响应数据结构 { "token": "eyJhb...", // 短时效Access Token "refresh_token": "eyJhb...", // 长时效Refresh Token "expires_in": 7200 // 2小时过期 }3. 基础版响应拦截器实现
先看最基础的401错误处理流程,这段代码我已经在多个项目中验证:
// 响应拦截器基础版 axios.interceptors.response.use( response => response, async error => { const { config, response } = error if (response.status === 401) { const refreshToken = store.state.auth.refresh_token if (refreshToken) { try { // 用refresh_token获取新token const { data } = await axios.post('/refresh', { refreshToken }) // 更新存储 store.commit('UPDATE_TOKEN', { token: data.token, refresh_token: refreshToken }) // 重试原请求 config.headers.Authorization = `Bearer ${data.token}` return axios(config) } catch (err) { // 刷新失败跳登录页 router.push('/login?redirect=' + encodeURIComponent(router.currentRoute.path)) return Promise.reject(err) } } else { // 无refresh_token直接跳登录 router.push('/login') } } return Promise.reject(error) } )这个版本已经能处理单个请求的Token刷新,但存在明显缺陷:当多个并发请求同时返回401时,会触发多次Refresh请求。就像多个人同时发现门卡失效,都跑去前台补办,造成资源浪费。
4. 并发请求优化方案
解决并发问题需要引入状态管理和请求队列,这是我在电商项目中实际采用的方案:
let isRefreshing = false // 刷新状态标记 let requestsQueue = [] // 请求队列 axios.interceptors.response.use( response => response, async error => { if (error.response.status === 401) { const { config } = error if (!isRefreshing) { isRefreshing = true try { const { data } = await refreshToken() store.commit('UPDATE_TOKEN', data) // 执行队列中的请求 requestsQueue.forEach(cb => cb(data.token)) requestsQueue = [] // 重试当前请求 config.headers.Authorization = `Bearer ${data.token}` return axios(config) } finally { isRefreshing = false } } else { // 将请求加入队列 return new Promise(resolve => { requestsQueue.push(token => { config.headers.Authorization = `Bearer ${token}` resolve(axios(config)) }) }) } } return Promise.reject(error) } )这个方案有三个技术亮点:
- 状态锁:isRefreshing防止重复刷新
- Promise挂起:新请求被挂起而非直接失败
- 队列机制:确保所有请求最终都能获取新Token
实测在100+并发请求场景下,Token刷新只会触发一次,所有请求都能正常完成。我曾用JMeter压测,QPS达到300时依然稳定。
5. 生产环境增强方案
在金融类项目中,还需要考虑更多边界情况:
5.1 白名单机制
有些接口不需要认证(如登录页、验证码接口),需要配置白名单:
const whiteList = ['/login', '/captcha'] axios.interceptors.request.use(config => { if (!whiteList.includes(config.url)) { config.headers.Authorization = `Bearer ${store.state.auth.token}` } return config })5.2 失败重试策略
对于关键操作(如支付),建议加入有限次数的重试:
const MAX_RETRY = 2 let retryCount = 0 async function handleError(error) { if (error.response.status === 401 && retryCount < MAX_RETRY) { retryCount++ await new Promise(resolve => setTimeout(resolve, 1000)) return axios(error.config) } return Promise.reject(error) }5.3 心跳检测
在长时间操作的页面(如数据导出),可以提前检测Token状态:
setInterval(() => { axios.get('/check_token').catch(() => { // 主动刷新Token }) }, 30 * 60 * 1000) // 每30分钟检测一次6. 常见问题与解决方案
问题1:Refresh Token也过期了怎么办?
- 方案:清除所有Token跳转登录页,并记录跳转前的路由路径
问题2:移动端网络不稳定导致刷新失败?
- 方案:指数退避重试机制,如第一次立即重试,第二次等待2秒,第三次等待4秒
问题3:如何防止Token被盗用?
- 方案:绑定设备指纹/IP限制,每次刷新检查设备一致性
我在实际项目中踩过一个坑:没有处理Content-Type为multipart/form-data的请求。这类请求的headers需要特殊处理:
if (config.headers['Content-Type'] === 'multipart/form-data') { delete config.headers['Content-Type'] // 让浏览器自动设置 }7. 性能优化建议
对于高频请求的应用(如实时聊天),可以进一步优化:
- 内存缓存:将新Token缓存在内存中,减少store读取开销
- 预刷新:在Token过期前5分钟主动刷新
- 请求合并:将短时间内多个API请求合并为批量请求
// 预刷新示例 let tokenExpireTime = 0 axios.interceptors.response.use(response => { if (response.config.url === '/refresh') { tokenExpireTime = Date.now() + 7200 * 1000 } return response }) setInterval(() => { if (tokenExpireTime - Date.now() < 300000) { // 过期前5分钟 refreshToken() } }, 60000)这种方案在SSO单点登录系统中特别有效,可以将Token有效期缩短到30分钟(提升安全性),同时用户无感知。