前端实现无感刷新Token的方法与避坑指南
作者:前端Hardy
刷新 Token 不是“过期就重新登录”,而是让用户毫无感知地继续使用。
可惜,大多数项目还在用 401 跳登录 粗暴处理——这根本不是用户体验,这是放弃治疗。
在现代 Web 应用中,用户登录后通常会获得一对 Token:
- Access Token(短期有效,如 15 分钟)
- Refresh Token(长期有效,如 7 天)
当 Access Token 过期时,理想状态是:前端自动用 Refresh Token 换取新 Token,并重试原请求——整个过程用户无感,页面不跳转、操作不中断。
但现实呢?
“Token 过期 → 弹出登录框 → 用户骂一句‘怎么又登出了’ → 关掉页面走人。”
今天,我们就来彻底搞懂:如何真正实现“无感刷新”Token?为什么 90% 的实现都有致命缺陷?
错误做法一:在每个接口里手动判断 401
// 千万别这么写!
fetch('/api/user')
.then(res => {
if (res.status === 401) {
// 重新登录 or 刷新 token?
window.location.href = '/login';
}
});问题在哪?
- 每个接口都要重复写逻辑;
- 如果多个请求同时 401,会触发多次刷新,甚至多次跳登录;
- 完全无法做到“无感”。
错误做法二:全局拦截 401 后直接刷新 Token 并重试一次
这是目前最“主流”的错误方案:
// 伪代码:看似聪明,实则危险
axios.interceptors.response.use(
res => res,
async (error) => {
if (error.response.status === 401) {
const newToken = await refreshToken(); // 获取新 token
saveToken(newToken);
// 用新 token 重试原请求
return axios(error.config);
}
}
);
表面看没问题,但隐藏三大坑
坑 1:并发请求雪崩
当页面刚加载,10 个接口同时发起,而此时 Token 已过期 ——10 个请求全部返回 401 → 触发 10 次 refreshToken() → 后端收到 10 个刷新请求!
后果:
- 后端可能拒绝重复刷新(安全策略);
- Refresh Token 被提前消耗,后续真失效;
- 用户反而被踢下线。
坑 2:Refresh Token 泄露风险
如果前端把 Refresh Token 存在 localStorage,一旦 XSS 攻击成功,攻击者可长期盗用账号。
安全最佳实践:Refresh Token 应仅存于 HttpOnly Cookie,前端不可读!
但上述方案要求前端“拿到新 token”,这就逼你把 Refresh Token 暴露给 JS —— 安全与功能不可兼得?
坑 3:无限重试死循环
如果 refreshToken() 本身也返回 401(比如 Refresh Token 也过期了),重试原请求 → 又 401 → 再刷新 → 再 401 → ……
浏览器卡死,内存飙升。
正确方式:用“锁机制 + 队列 + 安全存储”三位一体
要实现真正的无感刷新,必须同时解决:
- 并发控制(只刷一次)
- 安全存储(Refresh Token 不暴露给 JS)
- 失败兜底(Refresh 失败时优雅降级)
第一步:后端配合 —— Refresh Token 存 HttpOnly Cookie
HTTP/1.1 200 OK
Set-Cookie: refreshToken=abc123; HttpOnly; Secure; SameSite=Strict; Path=/auth
前端永远拿不到 refreshToken,但每次请求会自动携带。
第二步:前端实现“单例刷新锁 + 请求队列”
let isRefreshing = false;
let refreshPromise = null;
const failedQueue = [];
// 重试队列中的请求
const processQueue = (error, token = null) => {
failedQueue.forEach(({ resolve, reject }) => {
if (error) {
reject(error);
} else {
resolve(token);
}
});
failedQueue.length = 0;
};
axios.interceptors.response.use(
response => response,
async (error) => {
const originalRequest = error.config;
if (error.response?.status === 401 && !originalRequest._retry) {
if (isRefreshing) {
// 已在刷新中,将请求加入队列,等待新 token
return new Promise((resolve, reject) => {
failedQueue.push({ resolve, reject });
}).then(token => {
originalRequest.headers['Authorization'] = `Bearer ${token}`;
return axios(originalRequest);
});
}
originalRequest._retry = true;
isRefreshing = true;
try {
// 调用刷新接口(后端从 Cookie 读 refreshToken)
const { data } = await axios.post('/auth/refresh');
const newAccessToken = data.accessToken;
// 通知所有排队的请求
processQueue(null, newAccessToken);
// 重试当前请求
originalRequest.headers['Authorization'] = `Bearer ${newAccessToken}`;
return axios(originalRequest);
} catch (refreshError) {
// 刷新失败:清空本地身份,跳转登录
clearAuth();
processQueue(refreshError, null);
window.location.href = '/login';
return Promise.reject(refreshError);
} finally {
isRefreshing = false;
refreshPromise = null;
}
}
return Promise.reject(error);
}
);
关键设计解析
| 机制 | 作用 |
|---|---|
| isRefreshing 锁 | 确保同一时间只发起一次刷新 |
| failedQueue 队列 | 缓存所有因 401 失败的请求,等新 token 到手后批量重试 |
| _retry 标记 | 防止重试后的请求再次进入刷新逻辑 |
| HttpOnly Cookie | 保护 Refresh Token 不被 XSS 窃取 |
安全补充:前端 Token 存储建议
| Token 类型 | 推荐存储方式 | 原因 |
|---|---|---|
| Access Token | 内存(JS 变量)或 sessionStorage | 短期有效,避免持久化泄露 |
| Refresh Token | HttpOnly Cookie | 前端不可读,防 XSS |
切勿将任何 Token 存入 localStorage!这是 XSS 攻击的黄金目标。
如何测试你的刷新逻辑
- 手动将 Access Token 设为过期;
- 快速点击多个按钮,触发并发请求;
- 观察 Network 面板:
- 是否只调用了一次
/auth/refresh? - 所有原请求是否最终成功?
- 是否只调用了一次
- 模拟 Refresh Token 失效,是否跳转登录?
结语
“无感刷新 Token”不是炫技,而是对用户体验和系统安全的基本尊重。那些让用户频繁重新登录的产品,不是技术做不到,而是没把用户当回事。
真正的专业,藏在细节里:一个锁、一个队列、一个 HttpOnly Cookie —— 就是 10% 正确方案 与 90% 错误实现的分水岭。
你的项目还在用“401 就跳登录”吗?是时候升级了。
欢迎转发给那个总说“Token 过期就让用户重新登录”的同事。
到此这篇关于前端实现无感刷新Token的方法与避坑指南的文章就介绍到这了,更多相关前端无感刷新token内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!