如何使用 Redux 刷新 JWT 令牌?

IT技术 javascript reactjs react-native redux jwt
2021-04-16 10:45:13

我们的 React Native Redux 应用程序使用 JWT 令牌进行身份验证。有许多操作需要此类令牌,​​并且其中许多操作是同时调度的,例如在应用加载时。

例如

componentDidMount() {
    dispath(loadProfile());
    dispatch(loadAssets());
    ...
}

双方loadProfileloadAssets要求JWT。我们将令牌保存在 state 和 中AsyncStorage我的问题是如何处理令牌过期。

最初我打算使用中间件来处理令牌过期

// jwt-middleware.js

export function refreshJWTToken({ dispatch, getState }) {

  return (next) => (action) => {
    if (isExpired(getState().auth.token)) {
      return dispatch(refreshToken())
          .then(() => next(action))
          .catch(e => console.log('error refreshing token', e));
    }
    return next(action);
};

}

我遇到的问题是令牌的刷新将同时发生在loadProfileloadAssets动作中,因为在它们被分派时令牌将过期。理想情况下,我想“暂停”需要身份验证的操作,直到刷新令牌。有没有办法用中间件做到这一点?

4个回答

我找到了解决这个问题的方法。我不确定这是否是最佳实践方法,并且可能可以对其进行一些改进。

我最初的想法仍然是:JWT 刷新在中间件中。thunk如果thunk使用该中间件,则必须在该中间件之前出现

...
const createStoreWithMiddleware = applyMiddleware(jwt, thunk)(createStore);

然后在中间件代码中,我们检查令牌是否在任何异步操作之前过期。如果它已过期,我们还会检查我们是否已经在刷新令牌——为了能够进行这样的检查,我们向状态添加了对新鲜令牌的Promise。

import { refreshToken } from '../actions/auth';

export function jwt({ dispatch, getState }) {

    return (next) => (action) => {

        // only worry about expiring token for async actions
        if (typeof action === 'function') {

            if (getState().auth && getState().auth.token) {

                // decode jwt so that we know if and when it expires
                var tokenExpiration = jwtDecode(getState().auth.token).<your field for expiration>;

                if (tokenExpiration && (moment(tokenExpiration) - moment(Date.now()) < 5000)) {

                    // make sure we are not already refreshing the token
                    if (!getState().auth.freshTokenPromise) {
                        return refreshToken(dispatch).then(() => next(action));
                    } else {
                        return getState().auth.freshTokenPromise.then(() => next(action));
                    }
                }
            }
        }
        return next(action);
    };
}

最重要的部分是refreshToken功能。该函数需要在令牌刷新时分派操作,以便状态将包含对新令牌的Promise。这样,如果我们分派多个同时使用令牌身份验证的异步操作,令牌只会刷新一次。

export function refreshToken(dispatch) {

    var freshTokenPromise = fetchJWTToken()
        .then(t => {
            dispatch({
                type: DONE_REFRESHING_TOKEN
            });

            dispatch(saveAppToken(t.token));

            return t.token ? Promise.resolve(t.token) : Promise.reject({
                message: 'could not refresh token'
            });
        })
        .catch(e => {

            console.log('error refreshing token', e);

            dispatch({
                type: DONE_REFRESHING_TOKEN
            });
            return Promise.reject(e);
        });



    dispatch({
        type: REFRESHING_TOKEN,

        // we want to keep track of token promise in the state so that we don't try to refresh
        // the token again while refreshing is in process
        freshTokenPromise
    });

    return freshTokenPromise;
}

我意识到这很复杂。我也有点担心调度refreshToken不是动作本身的动作。请让我知道您知道的使用 redux 处理过期 JWT 令牌的任何其他方法。

这段代码非常感谢!也许毕竟行动,我们需要从状态中删除 freshTokenPromise 对象?return getState() .auth.freshTokenPromise.then(() => next(action)) .then(() => { dispatch({ type: REFRESHING_TOKEN_PROMISE_CLEAN, freshTokenPromise: null, }) })
2021-06-03 10:45:13
美丽的 !有一点注意,redux-persist不支持持久化Promise,freshTokenPromise必须使用转换器排除/列入黑名单
2021-06-07 10:45:13
您可以让 refreshToken 接收一个“postponedAction”,如果刷新成功完成,它将被调度,而不是返回一个新的 Promise。至少我是这样解决的。
2021-06-09 10:45:13
2021-06-10 10:45:13
@Shvetusya 我不会担心在 refreshToken 中调度动作,这本身不是动作。refreshToken 本质上是一个动作创建者,像这样在 actionCreator 中分​​派其他动作是很常见的做法
2021-06-14 10:45:13

与其“等待”某个动作完成,您还可以保留一个 store 变量来了解您是否仍在获取令牌:

样品减速器

const initialState = {
    fetching: false,
};
export function reducer(state = initialState, action) {
    switch(action.type) {
        case 'LOAD_FETCHING':
            return {
                ...state,
                fetching: action.fetching,
            }
    }
}

现在动作创建者:

export function loadThings() {
    return (dispatch, getState) => {
        const { auth, isLoading } = getState();

        if (!isExpired(auth.token)) {
            dispatch({ type: 'LOAD_FETCHING', fetching: false })
            dispatch(loadProfile());
            dispatch(loadAssets());
       } else {
            dispatch({ type: 'LOAD_FETCHING', fetching: true })
            dispatch(refreshToken());
       }
    };
}

这在组件安装时被调用。如果 auth 密钥过时,它将分派一个动作以设置fetching为 true 并刷新令牌。请注意,我们还不会加载配置文件或资产。

新组件:

componentDidMount() {
    dispath(loadThings());
    // ...
}

componentWillReceiveProps(newProps) {
    const { fetching, token } = newProps; // bound from store

    // assuming you have the current token stored somewhere
    if (token === storedToken) {
        return; // exit early
    }

    if (!fetching) {
        loadThings()
    } 
}

请注意,现在您尝试在 mount 上加载您的东西,但在接收props时也会在某些条件下加载(这将在商店更改时被调用,以便我们可以保留fetching在那里)当初始获取失败时,它将触发refreshToken. 完成后,它将在商店中设置新令牌,更新组件并因此调用componentWillReceiveProps. 如果它仍然没有获取(不确定这个检查是否必要),它会加载东西。

啊,是的,它会变得重复,绝对应该是中间件。装饰器会有意义,但我不确定您是否也可以使用它们。另一种策略是'ADD_TO_FAVS'通过中间件将您的操作(例如 )“排队”到队列数组中。立即尝试调度,但如果令牌过时,请刷新它。同时,订阅此更改并在任何更改尝试清空队列。调度会有延迟,但不会超过这种握手的预期。
2021-05-31 10:45:13
谢谢!这对于初始加载绝对有意义。但我不确定它是否适用于在应用程序加载和使用后过期令牌。每次调用 API 都需要有效的令牌。我们有许多需要登录和加载数据的弹出视图,所以我不确定通过这些视图的 props 处理过期是否有效。
2021-06-02 10:45:13
您可以更改逻辑以检查令牌是否过期而不是令牌差异。这个想法是任何动作都会触发这个生命周期方法,所以你可以利用它来更新fetching变量并做出相应的反应
2021-06-07 10:45:13
我添加dispatch({ type: 'LOAD_FETCHING', fetching: true }) 到每个需要 JWT 的操作的第一个问题是代码重复。第二个问题是如何知道刷新何时完成。假设有一个“添加到收藏夹”按钮,它会发送一个需要身份验证的 api 调用。我是否想向该操作添加“如果令牌过期刷新然后拨打电话”逻辑?其他类似的动作呢?这就是我尝试使用中间件的原因。在其他框架/语言中,我使用过装饰器,但我不确定我是否可以用 React 做到这一点。
2021-06-17 10:45:13

我做了一个简单的包装器redux-api-middleware来推迟操作和刷新访问令牌。

中间件.js

import { isRSAA, apiMiddleware } from 'redux-api-middleware';

import { TOKEN_RECEIVED, refreshAccessToken } from './actions/auth'
import { refreshToken, isAccessTokenExpired } from './reducers'


export function createApiMiddleware() {
  const postponedRSAAs = []

  return ({ dispatch, getState }) => {
    const rsaaMiddleware = apiMiddleware({dispatch, getState})

    return (next) => (action) => {
      const nextCheckPostponed = (nextAction) => {
          // Run postponed actions after token refresh
          if (nextAction.type === TOKEN_RECEIVED) {
            next(nextAction);
            postponedRSAAs.forEach((postponed) => {
              rsaaMiddleware(next)(postponed)
            })
          } else {
            next(nextAction)
          }
      }

      if(isRSAA(action)) {
        const state = getState(),
              token = refreshToken(state)

        if(token && isAccessTokenExpired(state)) {
          postponedRSAAs.push(action)
          if(postponedRSAAs.length === 1) {
            return  rsaaMiddleware(nextCheckPostponed)(refreshAccessToken(token))
          } else {
            return
          }
        }
      
        return rsaaMiddleware(next)(action);
      }
      return next(action);
    }
  }
}

export default createApiMiddleware();

我将令牌保留在状态中,并使用一个简单的帮助程序将 Acess 令牌注入请求标头中

export function withAuth(headers={}) {
  return (state) => ({
    ...headers,
    'Authorization': `Bearer ${accessToken(state)}`
  })
}

所以redux-api-middleware行动几乎保持不变

export const echo = (message) => ({
  [RSAA]: {
      endpoint: '/api/echo/',
      method: 'POST',
      body: JSON.stringify({message: message}),
      headers: withAuth({ 'Content-Type': 'application/json' }),
      types: [
        ECHO_REQUEST, ECHO_SUCCESS, ECHO_FAILURE
      ]
  }
})

我写了这篇文章并分享了项目示例,它展示了 JWT 刷新令牌工作流程的实际效果

我认为 redux 不是强制执行令牌刷新原子性的正确工具。

相反,我可以为您提供一个可以从任何地方调用的原子函数,并确保您将始终获得有效的令牌:

/*
    The non-atomic refresh function
*/

const refreshToken = async () => {
    // Do whatever you need to do here ...
}

/*
    Promise locking-queueing structure
*/

var promiesCallbacks = [];

const resolveQueue = value => {
  promiesCallbacks.forEach(x => x.resolve(value));
  promiesCallbacks = [];
};
const rejectQueue = value => {
  promiesCallbacks.forEach(x => x.reject(value));
  promiesCallbacks = [];
};
const enqueuePromise = () => {
  return new Promise((resolve, reject) => {
    promiesCallbacks.push({resolve, reject});
  });
};

/*
    The atomic function!
*/

var actionInProgress = false;

const refreshTokenAtomically = () => {
  if (actionInProgress) {
    return enqueuePromise();
  }

  actionInProgress = true;

  return refreshToken()
    .then(({ access }) => {
      resolveQueue(access);
      return access;
    })
    .catch((error) => {
      rejectQueue(error);
      throw error;
    })
    .finally(() => {
      actionInProgress = false;
    });
};

也在这里发布:https : //stackoverflow.com/a/68154638/683763

其它你可能感兴趣的问题
上一篇如何创建带有转换的 React Modal(附加到 `<body>`)? 下一篇React-Redux:是否应该将所有组件状态都保存在 Redux Store 中