Løsning af JWT Refresh Token Handling i Angular med HttpInterceptor

Temp mail SuperHeros
Løsning af JWT Refresh Token Handling i Angular med HttpInterceptor
Løsning af JWT Refresh Token Handling i Angular med HttpInterceptor
Daniel Marino
Fredag den 15. november 2024 kl. 23.33.58

Sikrer sømløs JWT-opdatering i vinkelinterceptorer

I en webapp med sikre brugersessioner er det afgørende at administrere kortvarige JWT-tokens effektivt for en uafbrudt brugeroplevelse. Når tokens udløber, støder brugere ofte på problemer som at blive tvunget til at logge på igen, hvilket kan være frustrerende og forstyrre brugerengagementet. For at tackle dette implementerer udviklere almindeligvis automatisk token-opdatering ved hjælp af en Angular interceptor til at håndtere udløbne sessioner. 🕰️

Denne tilgang involverer opsnapning af HTTP-anmodninger, fangst af 401-fejl (uautoriserede anmodninger) og derefter påkaldelse af en opdateringsproces for at få et nyt token. Der kan dog opstå problemer med at sikre, at den opdaterede token eller cookie anvendes på de genforsøgte anmodninger. Hvis det nye token ikke udbredes korrekt, kan genforsøget mislykkes, hvilket efterlader brugere med den samme godkendelsesfejl og potentielt forstyrre appens arbejdsgange.

I denne guide vil vi gennemgå en praktisk implementering af dette interceptormønster. Vi vil se på, hvordan man fanger fejl, opdaterer tokens og bekræfter, at anmodninger prøver igen med gyldig autorisation. Denne tilgang minimerer afbrydelser og giver dig samtidig kontrol over sessionsfornyelsesprocessen.

Til sidst vil du få indsigt i, hvordan du løser almindelige faldgruber, såsom håndtering af HttpOnly-cookies og håndtering af opdateringssekvenser under høje anmodningsvolumener. Denne metode sikrer, at din applikation kan opretholde en sikker, jævn brugersession uden konstante logins. 🔒

Kommando Eksempel på brug
catchError Bruges i en observerbar pipeline til at fange og håndtere fejl, der opstår under HTTP-anmodninger, hvilket gør det muligt for interceptoren at opsnappe 401-fejl specifikt til at opdatere tokens eller håndtere uautoriserede anmodninger.
switchMap Skifter til en ny observerbar, der typisk bruges her til at håndtere HTTP-genforsøget efter et token er opdateret. Ved at skifte strøm erstatter den den tidligere observerbare, hvilket sikrer, at kun den genforsøgte anmodning med det nye token behandles.
BehaviorSubject Et specialiseret RxJS-emne, der bruges til at opretholde token-opdateringstilstanden på tværs af HTTP-anmodninger. I modsætning til almindeligt emne bevarer BehaviorSubject den sidst udsendte værdi, hvilket er nyttigt til håndtering af samtidige 401-fejl.
clone Kloner HttpRequest-objektet med opdaterede egenskaber som withCredentials: true. Dette gør det muligt at sende cookies sammen med anmodningen, mens den oprindelige anmodningskonfiguration bevares.
pipe Kæder flere RxJS-operatører sammen i en observerbar. I denne interceptor er pipe essentiel for at sammensætte fejlhåndtering og genforsøge logik efter en token-opdatering.
of Et RxJS-værktøj, der skaber en observerbar ud fra en værdi. Ved test bruges of(true) til at simulere et vellykket svar fra refreshToken, hvilket hjælper med interceptorens enhedstest.
HttpTestingController Et værktøj fra Angulars testmodul, der giver mulighed for at opfange og kontrollere HTTP-anmodninger i et testmiljø. Det hjælper med at simulere svar og hævde, at anmodninger blev håndteret korrekt af interceptoren.
flush Bruges med HttpTestingController til manuelt at fuldføre en HTTP-anmodning i en test, hvilket muliggør simulering af svar såsom 401 Uautoriseret. Dette sikrer, at interceptorens opdateringslogik aktiveres som forventet.
getValue Får adgang til den aktuelle værdi af et BehaviorSubject, hvilket er vigtigt i denne interceptor for at verificere, om token-opdateringsprocessen allerede er i gang, og undgår flere opdateringsanmodninger.

Sikring af pålidelig JWT-godkendelse med vinkelinterceptorer

I eksemplet ovenfor er interceptoren designet til automatisk at opdatere et kortvarigt JWT-token, når der opstår en 401-fejl. Denne form for opsætning er essentiel i applikationer med følsomme data, hvor vedligeholdelse af sessionssikkerhed er kritisk, men brugeroplevelsen bør ikke afbrydes. Interceptoren fanger 401 (uautoriseret) fejl og starter en opdateringstokenanmodning for at forny sessionen uden at kræve, at brugeren skal godkendes igen. Denne proces udløses af catchError-funktionen, som tillader fejlhåndtering inden for en observerbar pipeline. Her signalerer enhver HTTP-fejl, specifikt en 401, at tokenet sandsynligvis er udløbet og starter opfriskningsprocessen.

Funktionen switchMap er et andet kerneelement her; den opretter en ny observerbar strøm til den opdaterede anmodning, og erstatter den gamle observerbare uden at annullere hele flowet. Efter opdatering forsøger den den oprindelige anmodning igen og sikrer, at den nye token anvendes. Ved at skifte fra den gamle observerbare til en ny, kan interceptoren udføre token-fornyelsen på en sømløs, ikke-blokerende måde. Denne teknik er især værdifuld, når du arbejder med realtidsapplikationer, da den reducerer afbrydelser i brugerinteraktioner, mens den stadig opretholder sikker godkendelse. For eksempel vil en bruger, der gennemser et sikret finansielt dashboard, ikke blive omdirigeret eller logget unødigt ud; i stedet hentes det nye token og anvendes i baggrunden. 🔄

Derudover spiller BehaviorSubject en afgørende rolle ved at styre tilstanden af ​​opdateringsprocessen. Dette RxJS-værktøj kan beholde den sidst udsendte værdi, hvilket er særligt nyttigt, når flere anmodninger støder på en 401-fejl på samme tid. I stedet for at udløse flere opdateringer, starter interceptoren kun én token-opdatering, og alle andre anmodninger sættes i kø for at vente på denne enkelte token-fornyelse. Brug af BehaviorSubject med switchMap hjælper med at sikre, at hvis en anmodning udløser opdateringen, vil alle andre anmodninger, der har behov for det nye token, bruge de opdaterede legitimationsoplysninger uden at forårsage gentagne opdateringsopkald. Denne funktion er yderst nyttig i tilfælde, hvor brugere kan have flere åbne faner, eller appen administrerer flere samtidige netværksopkald, hvilket sparer ressourcer og undgår overdreven serverbelastning.

At teste denne interceptorlogik er også afgørende for at sikre, at den fungerer under forskellige scenarier, og derfor inkluderer vi HttpTestingController. Dette Angular testværktøj gør det muligt for os at simulere og teste HTTP-svar, som 401 Uautoriseret status, i et kontrolleret miljø. Ved at bruge flush, en metode leveret af HttpTestingController, kan udviklere simulere virkelige fejlreaktioner og verificere, at interceptoren opfører sig som forventet. Denne testmetode giver os mulighed for at forfine, hvor godt opdateringslogikken håndterer forskellige sager, før appen implementeres. Med disse metoder bevarer interceptoren ikke kun sessionen sikkert, men giver også en mere sømløs, stabil oplevelse for brugere, der navigerer i appen. 👩‍💻

Implementering af JWT Interceptor med Angular: Error Handling & Refresh Token Solution

Brug af Angular med modulær servicestruktur til fejlhåndtering og sessionsstyring

import { Injectable } from '@angular/core';
import { HttpEvent, HttpInterceptor, HttpHandler, HttpRequest, HttpErrorResponse } from '@angular/common/http';
import { catchError, switchMap } from 'rxjs/operators';
import { Observable, throwError, BehaviorSubject } from 'rxjs';
import { AuthService } from './auth.service';
import { Router } from '@angular/router';
@Injectable()
export class JwtInterceptor implements HttpInterceptor {
  private refreshTokenInProgress$ = new BehaviorSubject<boolean>(false);
  constructor(private authService: AuthService, private router: Router) {}
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({ withCredentials: true });
    return next.handle(req).pipe(
      catchError((error: HttpErrorResponse) => {
        if (error.status === 401) {
          return this.handle401Error(req, next);
        }
        return throwError(() => error);
      })
    );
  }
  private handle401Error(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    if (!this.refreshTokenInProgress$.getValue()) {
      this.refreshTokenInProgress$.next(true);
      return this.authService.refreshToken().pipe(
        switchMap(() => {
          this.refreshTokenInProgress$.next(false);
          return next.handle(req.clone({ withCredentials: true }));
        }),
        catchError((error) => {
          this.refreshTokenInProgress$.next(false);
          this.authService.logout();
          this.router.navigate(['/login'], { queryParams: { returnUrl: req.url } });
          return throwError(() => error);
        })
      );
    }
    return this.refreshTokenInProgress$.pipe(
      switchMap(() => next.handle(req.clone({ withCredentials: true })))
    );
  }
}

Vinkelenhedstest for JWT Interceptor Token Refresh Handling

Test af JWT-opdatering og HTTP-fejlhåndtering i Angulars interceptor

import { TestBed } from '@angular/core/testing';
import { HttpClientTestingModule, HttpTestingController } from '@angular/common/http/testing';
import { JwtInterceptor } from './jwt.interceptor';
import { HTTP_INTERCEPTORS, HttpClient } from '@angular/common/http';
import { AuthService } from './auth.service';
describe('JwtInterceptor', () => {
  let httpMock: HttpTestingController;
  let authServiceSpy: jasmine.SpyObj<AuthService>;
  let httpClient: HttpClient;
  beforeEach(() => {
    authServiceSpy = jasmine.createSpyObj('AuthService', ['refreshToken', 'logout']);
    TestBed.configureTestingModule({
      imports: [HttpClientTestingModule],
      providers: [
        JwtInterceptor,
        { provide: HTTP_INTERCEPTORS, useClass: JwtInterceptor, multi: true },
        { provide: AuthService, useValue: authServiceSpy }
      ]
    });
    httpMock = TestBed.inject(HttpTestingController);
    httpClient = TestBed.inject(HttpClient);
  });
  afterEach(() => {
    httpMock.verify();
  });
  it('should refresh token on 401 error and retry request', () => {
    authServiceSpy.refreshToken.and.returnValue(of(true));
    httpClient.get('/test').subscribe();
    const req = httpMock.expectOne('/test');
    req.flush(null, { status: 401, statusText: 'Unauthorized' });
    expect(authServiceSpy.refreshToken).toHaveBeenCalled();
  });
});

Udvidelse af JWT Token Refresh Strategies med Angular Interceptors

Et kritisk aspekt ved at bruge en Angular JWT token interceptor for sikre applikationer håndterer effektivt kompleksiteten ved håndtering af godkendelse og sessionsudløb. Ud over blot at fange 401-fejl og opdatere tokens, er det vigtigt at tænke på håndtering af flere anmodninger, og hvordan man optimerer token-opdateringer. Når flere anmodninger støder på en 401-fejl samtidigt, kan implementering af en kø eller låsemekanisme være yderst nyttig for at sikre, at der kun sker én token-opdatering ad gangen. Denne tilgang forhindrer unødvendige API-kald og reducerer belastningen, især i applikationer med høj trafik, samtidig med at alle forespørgsler i kø kan fortsætte efter opdateringen.

Angulars interceptorer giver os også mulighed for at strømline, hvordan vi håndterer token-lagring og -hentning. I stedet for at indkode tokens i lokal lagring, er det bedst at bruge Angular's HttpKun cookies og CSRF-beskyttelse for at øge sikkerheden. Med HttpOnly-cookies kan JWT ikke tilgås eller manipuleres af JavaScript, hvilket i høj grad forbedrer sikkerheden, men tilføjer en ny udfordring: at sikre, at anmodninger henter den opdaterede cookie automatisk. Angular er indbygget withCredentials option er en løsning, der instruerer browseren om at inkludere disse cookies på hver anmodning.

I et produktionsmiljø er det tilrådeligt at køre ydeevnetest af, hvordan applikationen opfører sig under belastning med token-opdateringer. Testopsætninger kan simulere høje anmodningsvolumener, hvilket sikrer, at interceptorens logik skaleres effektivt. I praksis minimerer denne opsætning risikoen for token-relaterede fejl, der påvirker brugeroplevelsen. Interceptorstrategien, når den er parret med korrekt cookiehåndtering og -test, hjælper med at opretholde en problemfri, brugervenlig og sikker applikation – uanset om appen administrerer kritiske økonomiske data eller en social platforms brugersessioner. 🌐🔐

Almindelige spørgsmål om JWT-tokenhåndtering med vinkelinterceptorer

  1. Hvordan gør catchError hjælp til håndtering af JWT tokens?
  2. Bruger catchError inden for en interceptor giver os mulighed for at identificere 401-fejl og udløse anmodninger om token-opdatering problemfrit, når tokens udløber.
  3. Hvorfor er BehaviorSubject bruges i stedet for Subject til sporing af opdateringsstatus?
  4. BehaviorSubject bevarer den sidst udsendte værdi, hvilket gør den nyttig til at administrere opdateringstilstande på tværs af samtidige anmodninger uden at udløse flere opdateringskald.
  5. Hvilken rolle gør switchMap spille i at prøve HTTP-anmodninger igen?
  6. switchMap gør det muligt at skifte fra den observerbare token-opdatering til den genforsøgte HTTP-anmodning, hvilket sikrer, at kun de seneste observerbare fuldførelser.
  7. Hvordan kan jeg teste interceptoren i Angular?
  8. Angular's HttpTestingController er nyttig til at simulere HTTP-svar, inklusive 401-fejl, for at verificere, at interceptorlogikken fungerer korrekt.
  9. Hvorfor bruge withCredentials i den klonede anmodning?
  10. De withCredentials flag sikrer, at sikre HttpOnly-cookies er inkluderet i hver anmodning, hvilket er vigtigt for at opretholde sikre sessioner.
  11. Hvordan kan jeg optimere token-opdateringshåndteringen under tung trafik?
  12. Brug af en enkelt BehaviorSubject eller låsemekanisme kan hjælpe med at forhindre flere opdateringsanmodninger, hvilket forbedrer ydeevnen i scenarier med høj trafik.
  13. Hvordan påvirker interceptoren brugeroplevelsen ved sessionens udløb?
  14. Interceptoren muliggør automatisk sessionsfornyelse, så brugere ikke bliver logget ud uventet, hvilket giver en mere jævn brugeroplevelse.
  15. Hvordan gør clone hjælp til at ændre anmodninger?
  16. clone opretter en kopi af anmodningen med ændrede egenskaber, såsom indstilling withCredentialsuden at ændre den oprindelige anmodning.
  17. Fungerer interceptoren med flere brugersessioner?
  18. Ja, men hver session skal administrere sin JWT uafhængigt, ellers skal opdateringslogikken tilpasses til flere sessioner.
  19. Kan interceptoren håndtere ikke-401 fejl?
  20. Ja, interceptoren kan udvides til at fange andre fejl, såsom 403 Forbidden, og håndtere dem korrekt for en bedre UX.

Strømlining af JWT Token Refresh i vinkelapplikationer

Effektiv JWT-tokenstyring er afgørende for at forbedre både brugeroplevelsen og sikkerheden i Angular-applikationer. Ved at implementere en interceptor til at fange 401-fejl og automatisk starte en token-opdatering, kan du undgå tvunget logout og give et problemfrit brugerflow. Derudover håndtering af samtidige anmodninger under opdatering ved hjælp af Adfærdsemne, sikrer, at der kun foretages ét opdateringsopkald, hvilket optimerer ressourceforbruget.

I sidste ende er målet at finde en balance mellem sikkerhed og brugervenlighed. Regelmæssig test og forfining af interceptorlogikken til scenarier i den virkelige verden giver din app mulighed for at håndtere store mængder af anmodninger uden problemer. Ved at vedtage bedste praksis inden for tokenadministration kan det hjælpe med at opretholde en sikker, brugervenlig oplevelse på tværs af sessioner. 👨‍💻

Referencer og ressourcer til JWT Interceptor Implementering
  1. Detaljerede oplysninger om oprettelse af HTTP-interceptorer i Angular kan findes i den officielle Angular-dokumentation: Angular HTTP-guide .
  2. For indsigt i håndtering af JWT-tokens opdateringsmekanismer og bedste praksis henvises til Auth0's Refresh Tokens Guide .
  3. RxJS-biblioteket tilbyder omfattende detaljer om de operatører, der bruges i denne artikel, herunder switchMap og catchError: RxJS Operatørvejledning .
  4. Til vinkelteststrategier med HttpTestingController, tjek ressourcerne på Angulars testværktøjer: Angular HTTP-testvejledning .