Menyelesaikan Penanganan Token Penyegaran JWT di Angular dengan HttpInterceptor

Temp mail SuperHeros
Menyelesaikan Penanganan Token Penyegaran JWT di Angular dengan HttpInterceptor
Menyelesaikan Penanganan Token Penyegaran JWT di Angular dengan HttpInterceptor
Daniel Marino
Sabtu, 16 November 2024 00.09.08

Memastikan Penyegaran JWT yang Mulus di Angular Interceptor

Dalam aplikasi web dengan sesi pengguna yang aman, mengelola token JWT berumur pendek secara efektif sangat penting untuk pengalaman pengguna tanpa gangguan. Saat token habis masa berlakunya, pengguna sering kali mengalami masalah seperti dipaksa masuk kembali, yang dapat membuat frustasi dan mengganggu interaksi pengguna. Untuk mengatasi hal ini, pengembang biasanya menerapkan penyegaran token otomatis menggunakan interseptor Angular untuk menangani sesi yang kedaluwarsa. đŸ•°ïž

Pendekatan ini melibatkan intersepsi permintaan HTTP, menangkap kesalahan 401 (permintaan tidak sah), dan kemudian menjalankan proses penyegaran untuk mendapatkan token baru. Namun, masalah dapat muncul dalam memastikan token atau cookie yang diperbarui diterapkan pada permintaan yang dicoba ulang. Jika token baru tidak diterapkan dengan benar, percobaan ulang mungkin gagal, sehingga pengguna mengalami kesalahan otorisasi yang sama dan berpotensi mengganggu alur kerja aplikasi.

Dalam panduan ini, kita akan membahas implementasi praktis dari pola pencegat ini. Kita akan melihat cara menangkap kesalahan, menyegarkan token, dan mengonfirmasi bahwa permintaan dicoba ulang dengan otorisasi yang valid. Pendekatan ini meminimalkan interupsi sekaligus memberi Anda kendali atas proses pembaruan sesi.

Pada akhirnya, Anda akan mendapatkan wawasan tentang cara mengatasi kendala umum, seperti menangani cookie HttpOnly dan mengelola urutan penyegaran selama volume permintaan tinggi. Metode ini memastikan aplikasi Anda dapat mempertahankan sesi pengguna yang aman dan lancar tanpa login terus-menerus. 🔒

Memerintah Contoh penggunaan
catchError Digunakan dalam pipeline Observable untuk menangkap dan menangani kesalahan yang terjadi selama permintaan HTTP, memungkinkan pencegat untuk mencegat kesalahan 401 secara khusus untuk menyegarkan token atau menangani permintaan yang tidak sah.
switchMap Beralih ke observasi baru, biasanya digunakan di sini untuk menangani percobaan ulang HTTP setelah token disegarkan. Dengan mengganti aliran, ini menggantikan pengamatan sebelumnya, memastikan hanya permintaan percobaan ulang dengan token baru yang diproses.
BehaviorSubject Subjek RxJS khusus yang digunakan untuk mempertahankan status penyegaran token di seluruh permintaan HTTP. Tidak seperti Subjek biasa, BehaviorSubject mempertahankan nilai terakhir yang dikeluarkan, berguna untuk menangani kesalahan 401 yang terjadi secara bersamaan.
clone Mengkloning objek HttpRequest dengan properti yang diperbarui seperti withCredentials: true. Hal ini memungkinkan cookie dikirim bersama permintaan sambil mempertahankan konfigurasi permintaan asli.
pipe Merangkai beberapa operator RxJS bersama-sama dalam Observable. Dalam interseptor ini, pipa sangat penting untuk menyusun penanganan kesalahan dan logika percobaan ulang setelah penyegaran token.
of Utilitas RxJS yang membuat observasi dari suatu nilai. Dalam pengujian, of(true) digunakan untuk mensimulasikan respons yang berhasil dari refreshToken, membantu pengujian unit pencegat.
HttpTestingController Utilitas dari modul pengujian Angular yang memungkinkan intersepsi dan kontrol permintaan HTTP di lingkungan pengujian. Ini membantu mensimulasikan respons dan menegaskan bahwa permintaan ditangani dengan benar oleh pencegat.
flush Digunakan dengan HttpTestingController untuk menyelesaikan permintaan HTTP secara manual dalam pengujian, memungkinkan simulasi respons seperti 401 Tidak Sah. Hal ini memastikan logika penyegaran pencegat aktif seperti yang diharapkan.
getValue Mengakses nilai BehaviorSubject saat ini, yang penting dalam pencegat ini untuk memverifikasi apakah proses penyegaran token sudah berlangsung, menghindari beberapa permintaan penyegaran.

Memastikan Otentikasi JWT yang Andal dengan Angular Interceptor

Dalam contoh di atas, pencegat dirancang untuk secara otomatis menyegarkan token JWT yang berumur pendek setiap kali terjadi kesalahan 401. Penyiapan semacam ini penting dalam aplikasi dengan data sensitif, di mana menjaga keamanan sesi sangatlah penting, namun pengalaman pengguna tidak boleh terganggu. Pencegat menangkap kesalahan 401 (Tidak Sah) dan memulai permintaan token penyegaran untuk memperbarui sesi tanpa mengharuskan pengguna untuk mengautentikasi ulang. Proses ini dipicu oleh fungsi catchError, yang memungkinkan penanganan kesalahan dalam alur yang dapat diamati. Di sini, kesalahan HTTP apa pun, khususnya 401, menandakan bahwa token kemungkinan besar telah kedaluwarsa dan memulai proses penyegaran.

Fungsi switchMap adalah elemen inti lainnya di sini; itu membuat aliran baru yang dapat diobservasi untuk permintaan yang disegarkan, menggantikan aliran yang dapat diobservasi lama tanpa membatalkan seluruh aliran. Setelah menyegarkan, ia mencoba kembali permintaan awal, memastikan bahwa token baru diterapkan. Dengan beralih dari observasi lama ke observasi baru, pencegat dapat melakukan pembaruan token dengan cara yang mulus dan tanpa pemblokiran. Teknik ini sangat berguna ketika bekerja dengan aplikasi real-time, karena mengurangi gangguan dalam interaksi pengguna sambil tetap menjaga otentikasi aman. Misalnya, pengguna yang menjelajahi dasbor keuangan aman tidak akan dialihkan atau keluar jika tidak perlu; sebaliknya, token baru diperoleh dan diterapkan di latar belakang. 🔄

Selain itu, BehaviorSubject memainkan peran penting dengan mengelola status proses penyegaran. Utilitas RxJS ini dapat mempertahankan nilai terakhir yang dikeluarkan, yang sangat membantu ketika beberapa permintaan mengalami kesalahan 401 secara bersamaan. Alih-alih memicu beberapa penyegaran, pencegat hanya memulai satu penyegaran token, dan semua permintaan lainnya diantri untuk menunggu pembaruan token tunggal ini. Menggunakan BehaviorSubject dengan switchMap membantu memastikan bahwa jika satu permintaan memicu penyegaran, semua permintaan lain yang memerlukan token baru akan menggunakan kredensial yang diperbarui tanpa menyebabkan panggilan penyegaran berulang. Fitur ini sangat membantu jika pengguna memiliki beberapa tab yang terbuka, atau aplikasi mengelola beberapa panggilan jaringan secara bersamaan, sehingga menghemat sumber daya dan menghindari beban server yang berlebihan.

Menguji logika pencegat ini juga penting untuk memastikan bahwa logika ini berfungsi dalam skenario yang berbeda, itulah sebabnya kami menyertakan HttpTestingController. Alat pengujian Angular ini memungkinkan kami mensimulasikan dan menguji respons HTTP, seperti status 401 Tidak Sah, dalam lingkungan terkendali. Dengan menggunakan flush, metode yang disediakan oleh HttpTestingController, pengembang dapat mensimulasikan respons kesalahan di dunia nyata dan memverifikasi bahwa pencegat berperilaku seperti yang diharapkan. Pendekatan pengujian ini memungkinkan kami menyempurnakan seberapa baik logika penyegaran menangani berbagai kasus sebelum menerapkan aplikasi. Dengan metode ini, pencegat tidak hanya menjaga sesi dengan aman tetapi juga memberikan pengalaman yang lebih lancar dan stabil bagi pengguna dalam menavigasi aplikasi. đŸ‘©â€đŸ’»

Menerapkan JWT Interceptor dengan Angular: Penanganan Kesalahan & Solusi Penyegaran Token

Menggunakan Angular dengan struktur layanan modular untuk penanganan kesalahan dan manajemen sesi

import { Injectable } from '@angular/core';
import { HttpEvent, HttpInterceptor, HttpHandler, HttpRequest, HttpErrorResponse } from '@angular/common/http';
import { catchError, switchMap } from 'rxjs/operators';
import { Observable, throwError, BehaviorSubject } from 'rxjs';
import { AuthService } from './auth.service';
import { Router } from '@angular/router';
@Injectable()
export class JwtInterceptor implements HttpInterceptor {
  private refreshTokenInProgress$ = new BehaviorSubject<boolean>(false);
  constructor(private authService: AuthService, private router: Router) {}
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({ withCredentials: true });
    return next.handle(req).pipe(
      catchError((error: HttpErrorResponse) => {
        if (error.status === 401) {
          return this.handle401Error(req, next);
        }
        return throwError(() => error);
      })
    );
  }
  private handle401Error(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    if (!this.refreshTokenInProgress$.getValue()) {
      this.refreshTokenInProgress$.next(true);
      return this.authService.refreshToken().pipe(
        switchMap(() => {
          this.refreshTokenInProgress$.next(false);
          return next.handle(req.clone({ withCredentials: true }));
        }),
        catchError((error) => {
          this.refreshTokenInProgress$.next(false);
          this.authService.logout();
          this.router.navigate(['/login'], { queryParams: { returnUrl: req.url } });
          return throwError(() => error);
        })
      );
    }
    return this.refreshTokenInProgress$.pipe(
      switchMap(() => next.handle(req.clone({ withCredentials: true })))
    );
  }
}

Tes Unit Sudut untuk Penanganan Penyegaran Token Interceptor JWT

Menguji penyegaran JWT dan penanganan kesalahan HTTP di interseptor Angular

import { TestBed } from '@angular/core/testing';
import { HttpClientTestingModule, HttpTestingController } from '@angular/common/http/testing';
import { JwtInterceptor } from './jwt.interceptor';
import { HTTP_INTERCEPTORS, HttpClient } from '@angular/common/http';
import { AuthService } from './auth.service';
describe('JwtInterceptor', () => {
  let httpMock: HttpTestingController;
  let authServiceSpy: jasmine.SpyObj<AuthService>;
  let httpClient: HttpClient;
  beforeEach(() => {
    authServiceSpy = jasmine.createSpyObj('AuthService', ['refreshToken', 'logout']);
    TestBed.configureTestingModule({
      imports: [HttpClientTestingModule],
      providers: [
        JwtInterceptor,
        { provide: HTTP_INTERCEPTORS, useClass: JwtInterceptor, multi: true },
        { provide: AuthService, useValue: authServiceSpy }
      ]
    });
    httpMock = TestBed.inject(HttpTestingController);
    httpClient = TestBed.inject(HttpClient);
  });
  afterEach(() => {
    httpMock.verify();
  });
  it('should refresh token on 401 error and retry request', () => {
    authServiceSpy.refreshToken.and.returnValue(of(true));
    httpClient.get('/test').subscribe();
    const req = httpMock.expectOne('/test');
    req.flush(null, { status: 401, statusText: 'Unauthorized' });
    expect(authServiceSpy.refreshToken).toHaveBeenCalled();
  });
});

Memperluas Strategi Penyegaran Token JWT dengan Angular Interceptors

Aspek penting dalam menggunakan Angular pencegat token JWT untuk aplikasi aman secara efisien menangani kompleksitas pengelolaan otentikasi dan kedaluwarsa sesi. Selain sekadar mendeteksi kesalahan 401 dan menyegarkan token, penting juga untuk memikirkan penanganan multi-permintaan dan cara mengoptimalkan penyegaran token. Ketika beberapa permintaan mengalami kesalahan 401 secara bersamaan, penerapan mekanisme antrian atau penguncian bisa sangat berguna untuk memastikan hanya satu penyegaran token yang terjadi pada satu waktu. Pendekatan ini mencegah panggilan API yang tidak perlu dan mengurangi beban, terutama pada aplikasi dengan lalu lintas tinggi, sekaligus memungkinkan semua permintaan antrean untuk dilanjutkan setelah penyegaran.

Pencegat Angular juga memungkinkan kami menyederhanakan cara kami menangani penyimpanan dan pengambilan token. Daripada melakukan hardcoding token di penyimpanan lokal, lebih baik menggunakan Angular Cookie HttpOnly dan perlindungan CSRF untuk meningkatkan keamanan. Dengan cookie HttpOnly, JWT tidak dapat diakses atau dimanipulasi oleh JavaScript, sehingga sangat meningkatkan keamanan tetapi menambahkan tantangan baru: memastikan bahwa permintaan mengambil cookie yang disegarkan secara otomatis. bawaan Angular withCredentials opsi adalah solusinya, menginstruksikan browser untuk menyertakan cookie ini pada setiap permintaan.

Dalam lingkungan produksi, disarankan untuk menjalankan tes kinerja tentang bagaimana aplikasi berperilaku saat dimuat dengan penyegaran token. Penyiapan pengujian dapat mensimulasikan volume permintaan yang tinggi, memastikan bahwa logika pencegat berskala secara efisien. Dalam praktiknya, pengaturan ini meminimalkan risiko kesalahan terkait token yang berdampak pada pengalaman pengguna. Strategi pencegat, jika dipadukan dengan penanganan dan pengujian cookie yang tepat, akan membantu mempertahankan aplikasi yang lancar, mudah digunakan, dan aman—baik aplikasi tersebut mengelola data keuangan penting atau sesi pengguna platform sosial. 🌐🔐

Pertanyaan Umum tentang Penanganan Token JWT dengan Angular Interceptors

  1. Bagaimana caranya catchError bantuan dengan penanganan token JWT?
  2. Menggunakan catchError dalam interseptor memungkinkan kami mengidentifikasi kesalahan 401 dan memicu permintaan penyegaran token dengan lancar saat token kedaluwarsa.
  3. Mengapa demikian BehaviorSubject digunakan sebagai gantinya Subject untuk melacak status penyegaran?
  4. BehaviorSubject mempertahankan nilai terakhir yang dikeluarkan, sehingga berguna untuk mengelola status penyegaran di seluruh permintaan bersamaan tanpa memicu beberapa panggilan penyegaran.
  5. Peran apa yang dilakukannya switchMap bermain dalam mencoba kembali permintaan HTTP?
  6. switchMap memungkinkan peralihan dari penyegaran token yang dapat diamati ke permintaan HTTP yang dicoba ulang, memastikan hanya permintaan observasi terbaru yang selesai.
  7. Bagaimana cara menguji interseptor di Angular?
  8. sudut HttpTestingController berguna untuk mensimulasikan respons HTTP, termasuk kesalahan 401, untuk memverifikasi bahwa logika pencegat berfungsi dengan benar.
  9. Mengapa menggunakan withCredentials dalam permintaan kloning?
  10. Itu withCredentials flag memastikan bahwa cookie HttpOnly yang aman disertakan dalam setiap permintaan, penting untuk menjaga sesi aman.
  11. Bagaimana cara mengoptimalkan penanganan penyegaran token di bawah lalu lintas padat?
  12. Menggunakan satu BehaviorSubject atau mekanisme penguncian dapat membantu mencegah beberapa permintaan penyegaran, sehingga meningkatkan kinerja dalam skenario lalu lintas tinggi.
  13. Bagaimana pengaruh pencegat terhadap pengalaman pengguna pada berakhirnya sesi?
  14. Pencegat memungkinkan pembaruan sesi otomatis, sehingga pengguna tidak keluar secara tiba-tiba, sehingga memungkinkan pengalaman pengguna yang lebih lancar.
  15. Bagaimana caranya clone bantuan dalam mengubah permintaan?
  16. clone membuat salinan permintaan dengan properti yang dimodifikasi, seperti pengaturan withCredentials, tanpa mengubah permintaan awal.
  17. Apakah pencegat berfungsi dengan beberapa sesi pengguna?
  18. Ya, tetapi setiap sesi perlu mengelola JWT-nya secara independen, atau logika penyegaran harus disesuaikan untuk beberapa sesi.
  19. Bisakah pencegat menangani kesalahan non-401?
  20. Ya, interseptor dapat diperluas untuk menangkap kesalahan lain, seperti 403 Forbidden, dan menanganinya dengan tepat untuk UX yang lebih baik.

Menyederhanakan Penyegaran Token JWT dalam Aplikasi Angular

Manajemen token JWT yang efektif sangat penting untuk meningkatkan pengalaman pengguna dan keamanan dalam aplikasi Angular. Dengan menerapkan interseptor untuk menangkap kesalahan 401 dan secara otomatis memulai penyegaran token, Anda dapat menghindari logout paksa dan menyediakan alur pengguna yang lancar. Selain itu, menangani permintaan bersamaan selama penyegaran, dengan bantuan Subyek Perilaku, memastikan hanya satu panggilan penyegaran yang dilakukan, sehingga mengoptimalkan penggunaan sumber daya.

Pada akhirnya, tujuannya adalah untuk mencapai keseimbangan antara keamanan dan kenyamanan pengguna. Menguji dan menyempurnakan logika interseptor secara rutin untuk skenario dunia nyata memungkinkan aplikasi Anda menangani permintaan dalam jumlah besar tanpa masalah. Menerapkan praktik terbaik dalam pengelolaan token dapat membantu menjaga pengalaman yang aman dan ramah pengguna di seluruh sesi. đŸ‘šâ€đŸ’»

Referensi dan Sumber Daya untuk Implementasi JWT Interceptor
  1. Informasi terperinci tentang cara membuat pencegat HTTP di Angular dapat ditemukan di dokumentasi resmi Angular: Panduan HTTP Sudut .
  2. Untuk wawasan tentang pengelolaan mekanisme penyegaran token JWT dan praktik terbaik, lihat Panduan Token Penyegaran Auth0 .
  3. Pustaka RxJS menawarkan detail ekstensif tentang operator yang digunakan dalam artikel ini, termasuk beralihPeta Dan catchError: Panduan Operator RxJS .
  4. Untuk strategi pengujian Angular dengan HttpTestingController, periksa sumber daya pada utilitas pengujian Angular: Panduan Pengujian HTTP Sudut .