1、雙token方式刷新token
對于token刷新,現在大部分公司都是用的accessToken和refreshToken這種雙token方案,就是登錄接口返回accessToken和refreshToken,業務請求header攜帶accessToken(有安全需求的,一般會對token進行簽名),如果業務請求返回401表示accessToken過期,再header接待refreshToken調用刷新token的接口,如果刷新成功則用新的accessToken繼續業務請求,如果刷新token失敗則提示用戶重新登錄,時序圖如下
2、OKHttp攔截器處理Token過期
雙token要處理的問題大概有如下幾點
- 1、當接口返回401時,調用刷新token接口
- 2、刷新成功后,重試業務請求
- 3、當有多個并發請求返回401時,避免多次刷新token
針對第一點可以使用OKhttp的Interceptor對Http請求的Response進行攔截,刷新成功后可以用新的accessToken重新構建新Request,再重試請求。對于并發請求返回401時只執第一個401,其他的掛起等第一個401請求刷新后再重試請求,可以通過加同步解決。
3、主要代碼實現
自定義RefreshTokenInterceptor繼承Interceptor,處理以上三個問題
import android.text.TextUtils
import android.util.Log
import com.cyq.http.bean.TokenBean
import com.google.gson.Gson
import okhttp3.*
/**
* @author : ChenYangQi
* date : 2021/1/10 23:50
* desc : 判斷token過期并自動刷新,刷新成功后重試請求
*/
class RefreshTokenInterceptor : Interceptor {
companion object {
private const val TAG = "Token"
}
private val lock = Any()
override fun intercept(chain: Interceptor.Chain): Response {
val request = chain.request()
val response = chain.proceed(request)
//判斷Token是否過期
if (response.code() == 401) {
//通過同步鎖和雙重校驗限制多個請求同時返回401時,只有第一個請求能執行刷新token的操作
if ((!TextUtils.isEmpty(TokenSingleton.instance.accessToken)) &&
TokenSingleton.instance.accessToken == request.header("accessToken")
) {
synchronized(lock) {
if (!TextUtils.isEmpty(TokenSingleton.instance.accessToken) && TokenSingleton
.instance.accessToken == request.header("accessToken")
) {
refreshToken(object : RefreshTokenCallBack {
override fun onFail(response: Response): Response {
Log.d(TAG, "token刷新失敗-------")
//直接返回刷新token過期response.code=401的結果,應用層做重新登錄的邏輯
return response
}
override fun onSuccess() {
Log.d(TAG, "token刷新成功----重試業務請求---")
}
})
}
}
}
//使用新的AccessToken繼續業務請求
if (!TextUtils.isEmpty(TokenSingleton.instance.accessToken) &&
TokenSingleton.instance.accessToken != request.header("accessToken")
) {
Log.e(TAG, "獲得新Token后重試")
val newRequest = request.newBuilder()
.header("accessToken", TokenSingleton.instance.accessToken)
.build()
//繼續業務請求
return chain.proceed(newRequest)
} else {
throw RefreshTokenFailException("refresh token fail")
}
}
return response
}
/**
* 同步請求刷新Token
*/
private fun refreshToken(callback: RefreshTokenCallBack) {
Log.d(TAG, "進入刷新Token。。。。。")
val refreshToken = TokenSingleton.instance.refreshToken
if (TextUtils.isEmpty(refreshToken)) {
Log.d(TAG, "刷新Token失敗!")
throw RefreshTokenFailException("refreshToken is empty,please first login")
}
val formBody = FormBody.Builder().build()
val request = Request.Builder()
.url("http://192.168.3.8:8083/accessToken/refresh")
.addHeader("refreshToken", refreshToken)
.post(formBody)
.build()
val call = OkHttpClient.Builder().build().newCall(request)
val response = call.execute()
val result = response.body()?.string()
val tokenBean: TokenBean = Gson().fromJson(result, TokenBean::class.java)
when {
response.code() == 200 -> {
Log.d(TAG, "Token刷新成功")
//刷新token成功,更新token
TokenSingleton.instance.accessToken = tokenBean.data.accessToken
TokenSingleton.instance.refreshToken = tokenBean.data.refreshToken
callback.onSuccess()
}
response.code() == 401 -> {
Log.e(TAG, "Token過期需要自動登錄!")
callback.onFail(response)
}
else -> {
throw RefreshTokenFailException("refresh token fail")
}
}
}
interface RefreshTokenCallBack {
fun onFail(response: Response): Response
fun onSuccess()
}
}
測試代碼,每隔10秒同時發送3個請求,測試用的服務端accessToken設置過期時間60秒,refresh設置時間90秒
Thread {
while (tokenEffective) {
//每10秒執行一次
Thread.sleep(10_000)
//獲取用戶信息接口
getUserInfo()
//測試求和接口
sum()
//測試乘法接口
multiply()
}
}.start()
服務端demo代碼在項目跟目錄下server_project
服務端demo使用步驟
1:安裝redis,并啟動redis(很簡單,自行google)
2:idea打開項目(spring boot項目)
3:先運行AuthorizationService
4:再運行TokenDemoApplication啟動服務
5:更換android項目中的接口地址為你PC的本地IP
android端demo代碼地址:https://github.com/DaLeiGe/AndroidSamples/tree/master/HttpRequest
