如何在redux-saga中获取jwt刷新令牌?
在Redux-Saga中获取JWT刷新令牌的过程通常涉及以下几个步骤:
基础概念
- JWT(JSON Web Token):一种开放标准(RFC 7519),用于在网络应用环境间安全地将信息作为JSON对象传输。
- Redux-Saga:一个用于管理应用程序Side Effect(如异步操作)的库,它使用ES6的Generator函数来使异步流程更易于管理和测试。
相关优势
- Redux-Saga:提供了一种更加结构化和可控的方式来处理异步操作,相比于传统的Redux Thunk,Saga提供了更多的控制流功能。
- JWT:提供了一种安全的认证方式,减少了服务器的存储负担,并且可以跨域使用。
类型
- 访问令牌(Access Token):用于访问资源,通常有较短的有效期。
- 刷新令牌(Refresh Token):用于在访问令牌过期后获取新的访问令牌,有效期较长。
应用场景
在需要长时间运行的单页应用(SPA)中,用户登录后,服务器会返回一个访问令牌和一个刷新令牌。当访问令牌过期时,可以使用刷新令牌来获取新的访问令牌,而不需要用户重新登录。
实现步骤
以下是一个简单的示例,展示如何在Redux-Saga中使用刷新令牌:
1. 定义Saga
import { call, put, takeLatest } from 'redux-saga/effects';
import axios from 'axios';
function* refreshToken(action) {
try {
const response = yield call(axios.post, '/api/refresh-token', { refreshToken: action.payload });
const newAccessToken = response.data.accessToken;
// 更新本地存储或Redux状态中的访问令牌
yield put({ type: 'UPDATE_ACCESS_TOKEN', payload: newAccessToken });
} catch (error) {
// 处理刷新令牌失败的情况,例如清除用户信息并重定向到登录页面
yield put({ type: 'LOGOUT' });
}
}
function* watchRefreshToken() {
yield takeLatest('REFRESH_TOKEN_REQUEST', refreshToken);
}
export default watchRefreshToken;2. 触发Saga
在你的Redux reducer中,当检测到访问令牌过期时,可以分发一个REFRESH_TOKEN_REQUEST动作来触发Saga。
// 示例reducer
const initialState = {
accessToken: localStorage.getItem('accessToken'),
refreshToken: localStorage.getItem('refreshToken'),
};
function authReducer(state = initialState, action) {
switch (action.type) {
case 'UPDATE_ACCESS_TOKEN':
localStorage.setItem('accessToken', action.payload);
return { ...state, accessToken: action.payload };
case 'LOGOUT':
localStorage.removeItem('accessToken');
localStorage.removeItem('refreshToken');
return { ...state, accessToken: null, refreshToken: null };
default:
return state;
}
}3. 处理令牌过期
在你的应用中,当检测到访问令牌过期时(例如通过Axios的拦截器),分发REFRESH_TOKEN_REQUEST动作。
import axios from 'axios';
import { store } from './store'; // 假设你已经配置好了Redux store
axios.interceptors.response.use(
response => response,
error => {
const originalRequest = error.config;
if (error.response.status === 401 && !originalRequest._retry) {
originalRequest._retry = true;
const refreshToken = store.getState().auth.refreshToken;
return store.dispatch({ type: 'REFRESH_TOKEN_REQUEST', payload: refreshToken })
.then(() => {
originalRequest.headers['Authorization'] = `Bearer ${store.getState().auth.accessToken}`;
return axios.request(originalRequest);
});
}
return Promise.reject(error);
}
);参考链接
通过上述步骤,你可以在Redux-Saga中有效地处理JWT刷新令牌,确保用户会话的持续性和安全性。
相关·内容
1回答
我正在使用jwt token 假设在登录时已经保存了accesstoken和refreshtoken。此时,当getPost函数的catch ( err )中检测到错误时,通过REFRESH_REQUEST执行refreshAPI,并在发出accesstoken时将其保存在AsyncStorage中,然后执行
浏览 16提问于2021-05-10得票数 0
1回答
因此,我一直在学习Udemy课程,该课程使用POSTMAN教授身份验证,但我一直想知道它在使用浏览器的实际应用程序中是如何工作的。我们被教导用res.header('x-auth- token ',token)存储JWT令牌。然后,当我们尝试访问受保护的路由时,我们手动在POSTMAN报头中添加令牌,并在服务器上获取带有身份验证的令牌(‘x-req.header- token’),并验证令牌。但是在一个真实的应用中,我使用浏览器登录
浏览 13提问于2020-08-29得票数 0
回答已采纳
1回答
code>User访问需要授权的REST端点,方法是在headers.Endpoint中设置访问令牌,检查访问令牌JWT是否由服务器秘密key.Endpoint签名,访问令牌JWT是否过期。如果端点返回未经授权或客户端检查访问令牌已过期,则为,从retry.The端点获取新的访问令牌JWT,然后retry.The /refresh终结点接受未过期的刷新令牌,并返回D
浏览 5提问于2022-05-24得票数 2
1回答
我有一个web api端点,它为我提供了JWT令牌。它不是一个完全授权的服务器。它只能生成一个JWT令牌。 现在我有了另一个用aspnet核心编写的web应用程序。在其中,我在startup.cs中添加了以下几行代码,以便可以使用收到的JWT令牌进行授权 services.AddAuthentication(options =>为了保护web应用程序中的任何控制器,我只需使用Authorize属性。 在令牌</em
浏览 13提问于2019-01-10得票数 0
回答已采纳
2回答
在收到对经过身份验证的资源的请求并验证用户可以访问该资源时,如何延长/重新发出新的会话令牌?(user) update_last_login(None, user)JWT_AUTH = { 'JWT_EXPIRATION_DELTA': dateti
浏览 5提问于2021-10-11得票数 1
回答已采纳
我使用laravel / jwt进行jwt身份验证。但是,当我进行身份验证时,只需获取访问令牌,而不是刷新令牌。{ "laravel/tinker": "^1.0", }}
浏览 0提问于2019-07-27得票数 3
我找到了一个,在那里我可以用Azure凭据登录我的应用程序。后端: { { }
app.UseAuthentication
浏览 6提问于2017-10-04得票数 2
我在Lumen中使用了我的应用程序后端实现,它每次用户登录时都会提供一个JWT令牌。前端,我使用角将令牌保存在本地存储中,并将其添加到后续请求中的所有标头中。通过创建一个请求来检查令牌的到期和刷新,我正在使用 }}
$httpProvider.interce
浏览 6提问于2016-08-08得票数 3
回答已采纳
我自己的身份验证服务是一个简单的rest,它在输入正确的凭据时返回一个JWT访问令牌和一个JWT刷新令牌。目前,我正在将JWT刷新令牌设置为httpOnly cookie,将JWT访问令牌设置为nextjs应用程序中的状态变量(内存中)。我被困在这几点上:
如何在nextjs (getServerSideProps)中使用一些我想要根据JWT
浏览 3提问于2021-08-23得票数 3
使用刷新令牌获取新JWT的默认请求参数为: grant_type、refresh_token和client_id。非常感谢
浏览 17提问于2018-08-02得票数 0
回答已采纳
2回答
使用JWT实现了Django REST和身份验证。对于JWT令牌,我们必须在它过期之前对其进行刷新。过期后,JWT将不会提供新的令牌。对于我的移动设备,我需要每10分钟(JWT_EXPIRATION_DELTA)刷新一次令牌。如果用户没有活动超过10分钟,那么我需要要求登录。有没有什么方法可以在JWT令牌过期后刷新令牌。(我们可以将刷新时间限制为
浏览 1提问于2017-03-02得票数 7
回答已采纳
为此,我需要JWT令牌。在Google的所有文档中都说我应该使用Admin SDK来获取令牌,但我不能这么做。如何在没有Google库的情况下获取访问和刷新令牌?
浏览 10提问于2021-01-27得票数 0
1回答
我正在构建一个内置于react中的前端,它可以访问我也正在构建的多个微服务apis。对于auth,我已经构建了一个jwt登录系统,但是我想知道处理刷新令牌的过程是什么。jwt中的刷新令牌是否包含用户信息,还是在它自己的令牌中使用了不同的加密以进行额外的保护?如果jwt是无效的,需要刷新,那么如果它是它自己的标记,那么其他的微服务应该如何响应这个react应用程序呢?是否使用常见的http状态代码?我
浏览 3提问于2017-02-27得票数 3
回答已采纳
在我读过的大多数示例中,我看到有人提到,当服务器返回401时,客户机应该到达jwt刷新端点,以某种方式传入刷新令牌(即作为cookie),然后继续使用新的JWT令牌。我无法理解为什么当服务器无法验证(或接收)过期的JWT时,服务器端不能自动发生这种情况,前提是它具有刷新令牌。我有什么安全隐患吗?
这假设在每个请求中发送刷新令牌是可以的。假设HTTPS正在使用,令牌
浏览 0提问于2020-12-23得票数 0
3回答
主要关注的是,提供给我们的JWT令牌将在调用完成之前过期。(这是在同步设计中)这里有三项建议:客户端应用程序同时发送JWT和刷新令牌。如果JWT过期,请使用刷新令牌获取新令牌,并通过令牌提供程序将其放置在响应标头上。
浏览 0提问于2018-02-19得票数 6
1回答
对于oauth访问,授权服务器必须检查令牌的有效性。是否有一种方法可以做到这一点,而不对资源服务器的每个请求进行往返授权服务器?我已经对JWT做了一些解读,似乎因为JWT可以签名,所以它应该能够由资源服务器进行验证,而无需转到授权服务器?IIUC有什么标准/简单的方法来做这与春季安全oauth?
浏览 2提问于2017-09-10得票数 0
回答已采纳
2回答
它会启动,正确地重定向到google,然后返回应用程序,打印用户详细信息并将其存储在会话中。但是,此身份验证似乎来自id令牌,并且它的过期时间只有1小时。MyController {
fun sample(auth : Authentication) = auth.toString()
} 现在我想要获取访问令牌和刷新令牌获取这两个令牌的URL是什么? 有没有
浏览 107提问于2020-10-14得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
