Как реализовать обновление токена на Nuxt/Vue?

Question

[dicem]

Делаю сайт на Nuxt, если с авторизацией по API все понятно, мы получаем токен и храним его, то как быть с refresh токеном? У нас предположим есть дата когда основной токен прекращает работать и настал момент его обновлять, как это проверять? Через setInterval сверять дату токена? Или же через каждый переход по страницам через beforeEach?

Answer 1

[Владимир Голубь]

Делал через axios и общий обработчик, в случае не рабочего токена, отправлял ошибку вида 405 (для примера). На фронте, на эту ошибку ставил действия отправки refresh token, если он ошибочный выкидывал из системы. Если ок, то обновлял access token и делал запрос снова.

https://axios.nuxtjs.org/extend

Comments

[dicem]

Слууушай, а вот я сделал такой обработчик:

$axios.onRequest(config => {
		const expiresTime = localStorage.getItem('jwt_token-expires-time') || null
		const currentTime = parseInt(new Date().getTime()/1000)

		console.log(`Время истечения токена: ${expiresTime}, Время текущее: ${currentTime}`)
		console.log(`Так чо идем рефрешить или нет? ${ Boolean(expiresTime && currentTime >= expiresTime) }`)

		if (config.url.match(/\/refresh$/g) === null && store.getters['user/isLoggedIn']) {
			if (expiresTime && currentTime >= expiresTime) {
				$axios.post('/auth/refresh')
					.then( response => {
						console.log(response)
					})
					.catch(err => {
						console.error(err)
					})
			}
		}
	})

У меня там if проверяет рабочий токен или нет, и после него я обновляю токен и типа как потом повторить запрос?

Answer 2

[Алексей]

Кмк на хук надо вешать. Какой смысл делать запросы, если не меняется контент?

Comments

[dicem]

Ну не на всех же страницах наверно вешать, не знаешь случаем в Nuxt есть что то на подобии beaforeEach хука для роутера?

[Алексей]

dicem, https://router.vuejs.org/ru/api/#router-beforeeach

[dicem]

Алексей, я понимаю, но на накст с его роутингом я не понимаю как это реализовать

[Danila]

dicem, в наксте доступ к роутеру предоставляют в middleware или plugins, там можешь повесить свои хуки, читай документацию

[grabbee]

Ага. Наху..к вешать. На странице с динамическим контентом это пипец как поможет. Токен умрет и например лента перестанет отображаться. Уведомления перестанут приходить. И что ваш компонент нарисует когда токен протух - у нас ошибко, обновите страницу? А то у нас рефрешь в хуке роутера...

[dicem]

grabbee, что тогда предлагаешь?

[grabbee]

dicem, самому интересно. На англоязычных ресурсах пихают в перехватчик запроса axios - когда 401 возврат, они обновляют токен и повторяют запрос. Я таймер повесил, который читает из токена сколько ему жить осталось, и на 10% обновляет.

[golentor]

dicem, а crontab уже не в моде?)

[dicem]

grabbee,

Я таймер повесил, который читает из токена сколько ему жить осталось, и на 10% обновляет.

Типа при загрузке сайта сразу вешаешь таймер? Или где это лучше инициализировать?

[grabbee]

dicem, я сделал как смог придумать. Вынес в отдельный компонент. В нем Хук на монтирование в котором запускается работа с токенами. Если живой, то ничего не делает и запускается таймер. Если меньше 10% - обновляет. Остальные ждут когда состояние токена изменится.

[grabbee]

golentor, в браузере?

[Алексей]

golentor, dicem, grabbee,

Мне кажется, что токен надо обновлять только при наличии пользовательских действий. Даже если какие-то компоненты динамически обновляют постоянно свой контент, они перед отправкой запросов должны проверять = валидный ли токен.
Иначе получается, что авторизация у человека никогда не протухает на странице. Её постоянно обновляют динамические компоненты.

Согласно этому, нужно выносить работу с запросами в отдельный сервис и там на основе ответов сервера или перевыпускать пару токенов или отправлять на повторную авторизацию

[golentor]

Алексей, интересная мысль) получается ради простейшей залогинки нужно целый Облачный сервис подымать?) может попроще

[golentor]

grabbee, на серваке. У Вас же нода крутится на серваке, вот сервак и будет слать запросы на обновление))

[grabbee]

Алексей, ничего не понял. Пример с потолка - биржевая аналитика. Вам сервер поставляет и периодически данные, но нужна авторизация. TTL токена 5 минут. У меня графики через 5 минут что покажут? "Обновите токен"... Сервер авторизации по вашему что-то должен знать про поставляемый ресурс? Бред какой-то. Сессии раньше в каждый запрос пихали и как-то прожили 20 лет