JWT Refresh Token tvarkymo kampinis sprendimas naudojant HttpInterceptor

Temp mail SuperHeros
JWT Refresh Token tvarkymo kampinis sprendimas naudojant HttpInterceptor
JWT Refresh Token tvarkymo kampinis sprendimas naudojant HttpInterceptor
Daniel Marino
2024 m. lapkričio 16 d., šeštadienis 00:32:33

Sklandaus JWT atnaujinimo užtikrinimas kampiniuose gaudytuvuose

Žiniatinklio programoje su saugiomis naudotojų sesijomis efektyvus trumpalaikių JWT prieigos raktų valdymas yra labai svarbus norint užtikrinti nepertraukiamą vartotojo patirtį. Pasibaigus žetonų galiojimo laikui, vartotojai dažnai susiduria su tokiomis problemomis kaip priverstinis prisijungimas iš naujo, o tai gali erzinti ir sutrikdyti vartotojų įsitraukimą. Kad tai išspręstų, kūrėjai dažniausiai taiko automatinį prieigos rakto atnaujinimą naudodami kampinį perėmėją, skirtą tvarkyti pasibaigusio galiojimo seansus. 🕰️

Šis metodas apima HTTP užklausų perėmimą, 401 klaidų (neteisėtų užklausų) gaudymą ir atnaujinimo procesą, kad gautų naują prieigos raktą. Tačiau gali kilti problemų užtikrinant, kad atnaujintas prieigos raktas arba slapukas būtų pritaikytas pakartotinai bandomoms užklausoms. Jei naujas prieigos raktas netinkamai platinamas, pakartotinis bandymas gali nepavykti, todėl naudotojai gali patirti tą pačią prieigos teisės klaidą ir gali sutrikdyti programos darbo eigą.

Šiame vadove apžvelgsime praktinį šio perėmėjo modelio įgyvendinimą. Pažiūrėsime, kaip pastebėti klaidas, atnaujinti prieigos raktus ir patvirtinti, kad užklausos bus bandomos iš naujo su galiojančiu įgaliojimu. Šis metodas sumažina pertraukimus ir suteikia jums galimybę valdyti seanso atnaujinimo procesą.

Pabaigoje įgausite įžvalgų, kaip išspręsti dažniausiai pasitaikančias klaidas, pvz., HttpOnly slapukų tvarkymą ir atnaujinimo sekų tvarkymą esant dideliam užklausų kiekiui. Šis metodas užtikrina, kad jūsų programa gali palaikyti saugią, sklandžią vartotojo sesiją be nuolatinių prisijungimų. 🔒

komandą Naudojimo pavyzdys
catchError Naudojamas stebėjimo dujotiekyje, kad gautų ir tvarkytų klaidas, atsirandančias HTTP užklausų metu, leidžiant perėmėjui perimti 401 klaidas, specialiai skirtas žetonų atnaujinimui arba neteisėtų užklausų tvarkymui.
switchMap Perjungiama į naują stebimą, paprastai čia naudojama HTTP pakartotiniam bandymui po to, kai atnaujinamas prieigos raktas. Perjungus srautus, jis pakeičia ankstesnį stebimą, užtikrinant, kad būtų apdorojama tik pakartotinė užklausa su nauju prieigos raktu.
BehaviorSubject Specializuotas RxJS objektas, naudojamas prieigos rakto atnaujinimo būsenai palaikyti HTTP užklausose. Skirtingai nuo įprasto subjekto, „BehaviorSubject“ išsaugo paskutinę išleistą vertę, kuri yra naudinga sprendžiant tuo pačiu metu pasitaikančias 401 klaidas.
clone Klonuoja HttpRequest objektą su atnaujintomis savybėmis, pvz., withCredentials: true. Tai leidžia su užklausa siųsti slapukus išsaugant pradinę užklausos konfigūraciją.
pipe Sujungia kelis RxJS operatorius stebimajame. Šiame perėmėjuje vamzdis yra būtinas kuriant klaidų apdorojimo ir pakartotinio bandymo logiką po prieigos rakto atnaujinimo.
of RxJS programa, kuri iš vertės sukuria stebimą elementą. Atliekant testavimą, of(true) naudojamas sėkmingam refreshToken atsakui imituoti, padedant perėmėjo vieneto testams.
HttpTestingController „Angular“ testavimo modulio įrankis, leidžiantis perimti ir valdyti HTTP užklausas bandymo aplinkoje. Tai padeda imituoti atsakymus ir patvirtinti, kad perėmėjas tinkamai tvarkė užklausas.
flush Naudojamas kartu su HttpTestingController, norint rankiniu būdu užpildyti HTTP užklausą atliekant testą, leidžiantį imituoti atsakymus, pvz., 401 Neteisėtas. Tai užtikrina, kad gaudyklės atnaujinimo logika suaktyvėtų, kaip tikėtasi.
getValue Prieina dabartinę „BehaviorSubject“ reikšmę, kuri yra būtina šiame perėmėjuje norint patikrinti, ar prieigos rakto atnaujinimo procesas jau vyksta, išvengiant kelių atnaujinimo užklausų.

Patikimo JWT autentifikavimo užtikrinimas naudojant kampinius gaudytuvus

Aukščiau pateiktame pavyzdyje perėmėjas sukurtas taip, kad automatiškai atnaujintų trumpalaikį JWT prieigos raktą, kai tik įvyksta 401 klaida. Tokia sąranka yra būtina programose su neskelbtinais duomenimis, kai seanso saugumas yra labai svarbus, tačiau naudotojo patirtis neturėtų būti nutraukta. Perėmėjas užfiksuoja 401 (neteisėta) klaidą ir inicijuoja atnaujinimo prieigos rakto užklausą, kad atnaujintų seansą, nereikalaujant vartotojo iš naujo autentifikuoti. Šį procesą suaktyvina funkcija catchError, kuri leidžia stebėti klaidas. Čia bet kokia HTTP klaida, ypač 401, signalizuoja, kad prieigos rakto galiojimo laikas greičiausiai baigėsi, ir pradeda atnaujinimo procesą.

Funkcija switchMap yra dar vienas pagrindinis elementas; jis sukuria naują stebimą srautą atnaujintai užklausai, pakeičiant seną stebimą neatšaukiant viso srauto. Atnaujinus, jis iš naujo bando vykdyti pradinę užklausą, užtikrindamas, kad būtų pritaikytas naujas prieigos raktas. Perjungęs iš seno stebimo į naują, perėmėjas gali sklandžiai, neblokuojančiai atlikti prieigos rakto atnaujinimą. Ši technika ypač vertinga dirbant su realaus laiko programomis, nes sumažina vartotojo sąveikos trukdžius ir išlaiko saugų autentifikavimą. Pavyzdžiui, saugioje finansinėje informacijos suvestinėje naršantis vartotojas nebūtų be reikalo peradresuojamas ar atsijungtas; vietoj to naujas prieigos raktas įgyjamas ir taikomas fone. 🔄

Be to, BehaviorSubject atlieka lemiamą vaidmenį valdant atnaujinimo proceso būseną. Ši RxJS programa gali išsaugoti paskutinę išsiųstą vertę, o tai ypač naudinga, kai keliose užklausose vienu metu atsiranda 401 klaida. Užuot suaktyvinęs kelis atnaujinimus, perėmėjas inicijuoja tik vieną prieigos rakto atnaujinimą, o visos kitos užklausos pateikiamos eilėje laukti šio vieno prieigos rakto atnaujinimo. BehaviorSubject naudojimas su switchMap padeda užtikrinti, kad jei viena užklausa suaktyvins atnaujinimą, visos kitos užklausos, kurioms reikalingas naujas prieigos raktas, naudos atnaujintus kredencialus ir nesukels pakartotinių atnaujinimo iškvietimų. Ši funkcija itin naudinga tais atvejais, kai vartotojai gali turėti kelis atidarytus skirtukus arba programėlė vienu metu valdo kelis tinklo skambučius, taip taupydama išteklius ir išvengdama per didelės serverio apkrovos.

Šios gaudyklės logikos išbandymas taip pat labai svarbus siekiant užtikrinti, kad jis veiktų pagal skirtingus scenarijus, todėl įtraukiame HttpTestingController. Šis kampinio testavimo įrankis leidžia mums imituoti ir išbandyti HTTP atsakymus, pvz., būseną 401 Neteisėta, kontroliuojamoje aplinkoje. Naudodami HttpTestingController pateiktą metodą flush, kūrėjai gali imituoti realaus pasaulio klaidų atsakymus ir patikrinti, ar perėmėjas veikia taip, kaip tikėtasi. Šis testavimo metodas leidžia patikslinti, kaip gerai atnaujinimo logika tvarko įvairius atvejus prieš diegiant programą. Naudodamas šiuos metodus, perėmėjas ne tik saugiai išsaugo seansą, bet ir užtikrina sklandesnę, stabilesnę programėlę naršančių naudotojų patirtį. 👩‍💻

JWT Interceptor įdiegimas su Angular: Error Handling & Refresh Token Solution

Naudojant Angular su moduline paslaugų struktūra klaidų ir seansų valdymui

import { Injectable } from '@angular/core';
import { HttpEvent, HttpInterceptor, HttpHandler, HttpRequest, HttpErrorResponse } from '@angular/common/http';
import { catchError, switchMap } from 'rxjs/operators';
import { Observable, throwError, BehaviorSubject } from 'rxjs';
import { AuthService } from './auth.service';
import { Router } from '@angular/router';
@Injectable()
export class JwtInterceptor implements HttpInterceptor {
  private refreshTokenInProgress$ = new BehaviorSubject<boolean>(false);
  constructor(private authService: AuthService, private router: Router) {}
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({ withCredentials: true });
    return next.handle(req).pipe(
      catchError((error: HttpErrorResponse) => {
        if (error.status === 401) {
          return this.handle401Error(req, next);
        }
        return throwError(() => error);
      })
    );
  }
  private handle401Error(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    if (!this.refreshTokenInProgress$.getValue()) {
      this.refreshTokenInProgress$.next(true);
      return this.authService.refreshToken().pipe(
        switchMap(() => {
          this.refreshTokenInProgress$.next(false);
          return next.handle(req.clone({ withCredentials: true }));
        }),
        catchError((error) => {
          this.refreshTokenInProgress$.next(false);
          this.authService.logout();
          this.router.navigate(['/login'], { queryParams: { returnUrl: req.url } });
          return throwError(() => error);
        })
      );
    }
    return this.refreshTokenInProgress$.pipe(
      switchMap(() => next.handle(req.clone({ withCredentials: true })))
    );
  }
}

Kampinio vieneto testas, skirtas JWT gaudyklės žetonų atnaujinimo valdymui

JWT atnaujinimo ir HTTP klaidų apdorojimo „Angular“ perėmėjuje testavimas

import { TestBed } from '@angular/core/testing';
import { HttpClientTestingModule, HttpTestingController } from '@angular/common/http/testing';
import { JwtInterceptor } from './jwt.interceptor';
import { HTTP_INTERCEPTORS, HttpClient } from '@angular/common/http';
import { AuthService } from './auth.service';
describe('JwtInterceptor', () => {
  let httpMock: HttpTestingController;
  let authServiceSpy: jasmine.SpyObj<AuthService>;
  let httpClient: HttpClient;
  beforeEach(() => {
    authServiceSpy = jasmine.createSpyObj('AuthService', ['refreshToken', 'logout']);
    TestBed.configureTestingModule({
      imports: [HttpClientTestingModule],
      providers: [
        JwtInterceptor,
        { provide: HTTP_INTERCEPTORS, useClass: JwtInterceptor, multi: true },
        { provide: AuthService, useValue: authServiceSpy }
      ]
    });
    httpMock = TestBed.inject(HttpTestingController);
    httpClient = TestBed.inject(HttpClient);
  });
  afterEach(() => {
    httpMock.verify();
  });
  it('should refresh token on 401 error and retry request', () => {
    authServiceSpy.refreshToken.and.returnValue(of(true));
    httpClient.get('/test').subscribe();
    const req = httpMock.expectOne('/test');
    req.flush(null, { status: 401, statusText: 'Unauthorized' });
    expect(authServiceSpy.refreshToken).toHaveBeenCalled();
  });
});

JWT žetonų atnaujinimo strategijų išplėtimas naudojant kampinius gaudytuvus

Svarbus kampinio naudojimo aspektas JWT žetonų perėmėjas saugioms programoms efektyviai tvarko autentifikavimo ir seanso pabaigos valdymo sudėtingumą. Svarbu ne tik užfiksuoti 401 klaidas ir atnaujinti prieigos raktus, bet ir pagalvoti apie kelių užklausų tvarkymą ir kaip optimizuoti prieigos raktų atnaujinimus. Kai keliose užklausose vienu metu susiduriama su 401 klaida, eilės arba užrakinimo mechanizmo įdiegimas gali būti labai naudingas siekiant užtikrinti, kad vienu metu būtų atnaujintas tik vienas prieigos raktas. Šis metodas apsaugo nuo nereikalingų API iškvietimų ir sumažina apkrovą, ypač didelio srauto programose, o po atnaujinimo leidžia tęsti visas eilėje esančias užklausas.

„Angular“ perimtuvai taip pat leidžia mums supaprastinti žetonų saugojimą ir gavimą. Vietinėje saugykloje geriau naudoti Angular's, o ne koduoti žetonus „HttpOnly“ slapukai ir CSRF apsauga, siekiant padidinti saugumą. Naudojant „HttpOnly“ slapukus, „JavaScript“ negali pasiekti JWT ar juo manipuliuoti, todėl saugumas labai pagerinamas, tačiau atsiranda naujas iššūkis: užtikrinti, kad užklausos automatiškai paimtų atnaujintą slapuką. Įmontuotas kampinis withCredentials parinktis yra sprendimas, nurodantis naršyklei įtraukti šiuos slapukus į kiekvieną užklausą.

Gamybinėje aplinkoje patartina atlikti našumo testus, siekiant nustatyti, kaip programa veikia esant apkrovai, atnaujinant prieigos raktą. Testavimo sąrankos gali imituoti didelius užklausų kiekius, užtikrinant, kad gaudyklės logika būtų efektyviai keičiama. Praktiškai ši sąranka sumažina su prieigos raktu susijusių klaidų, turinčių įtakos vartotojo patirčiai, riziką. Perėmimo strategija, kartu su tinkamu slapukų tvarkymu ir testavimu, padeda palaikyti sklandžią, patogią ir saugią taikomąją programą – nesvarbu, ar programa tvarko svarbius finansinius duomenis, ar socialinės platformos naudotojų seansus. 🌐🔐

Dažni klausimai apie JWT žetonų valdymą su kampiniais gaudytuvais

  1. Kaip veikia catchError padėti su JWT žetonų tvarkymu?
  2. Naudojant catchError perėmėjuje leidžia mums nustatyti 401 klaidas ir sklandžiai suaktyvinti prieigos rakto atnaujinimo užklausas, kai baigiasi prieigos raktų galiojimo laikas.
  3. Kodėl yra BehaviorSubject naudojamas vietoj Subject norėdami stebėti atnaujinimo būseną?
  4. BehaviorSubject išlaiko paskutinę išsiųstą vertę, todėl ji naudinga tvarkant atnaujinimo būsenas vienu metu pateikiamose užklausose nesuaktyvinant kelių atnaujinimo iškvietimų.
  5. Koks vaidmuo switchMap žaisti iš naujo bandant HTTP užklausas?
  6. switchMap leidžia pereiti nuo stebimo prieigos rakto atnaujinimo prie pakartotinai bandomos HTTP užklausos, užtikrinant, kad būtų baigta tik naujausia stebima informacija.
  7. Kaip aš galiu išbandyti gaudytuvą kampe?
  8. Kampinis HttpTestingController yra naudinga imituojant HTTP atsakymus, įskaitant 401 klaidas, siekiant patikrinti, ar perėmėjo logika veikia tinkamai.
  9. Kodėl naudoti withCredentials klonuotame prašyme?
  10. The withCredentials vėliavėlė užtikrina, kad į kiekvieną užklausą būtų įtraukti saugūs „HttpOnly“ slapukai, kurie yra svarbūs saugioms sesijoms palaikyti.
  11. Kaip galiu optimizuoti prieigos rakto atnaujinimo tvarkymą esant dideliam srautui?
  12. Naudojant vieną BehaviorSubject arba užrakinimo mechanizmas gali padėti išvengti kelių atnaujinimo užklausų ir pagerinti našumą esant dideliam srautui.
  13. Kaip perėmėjas veikia vartotojo patirtį pasibaigus seansui?
  14. Perėmėjas įgalina automatinį seanso atnaujinimą, todėl vartotojai netikėtai neatsijungia, o tai leidžia sklandžiau naudotis naudotojo patirtimi.
  15. Kaip veikia clone padėti keisti prašymus?
  16. clone sukuria užklausos kopiją su pakeistomis savybėmis, pvz., nustatymu withCredentials, nekeičiant pradinio prašymo.
  17. Ar perėmėjas veikia su keliomis naudotojų sesijomis?
  18. Taip, bet kiekviena sesija turi tvarkyti savo JWT atskirai arba atnaujinimo logika turėtų būti pritaikyta kelioms sesijoms.
  19. Ar perėmėjas gali apdoroti ne 401 klaidas?
  20. Taip, gaudyklę galima išplėsti, kad būtų užfiksuotos kitos klaidos, pvz., 403 uždraustas, ir tinkamai jas tvarkyti, kad būtų geresnis UX.

„JWT Token Refresh“ supaprastinimas kampinėse programose

Efektyvus JWT žetonų valdymas yra labai svarbus siekiant pagerinti vartotojo patirtį ir saugumą Angular programose. Įdiegę perėmėją, kad gautų 401 klaidas ir automatiškai inicijuotų prieigos rakto atnaujinimą, galite išvengti priverstinio atsijungimo ir užtikrinti sklandų naudotojų srautą. Be to, tvarkyti tuo pačius užklausas atnaujinimo metu, naudojant BehaviorSubject, užtikrina, kad būtų atliktas tik vienas atnaujinimo skambutis, optimizuojant išteklių naudojimą.

Galiausiai tikslas yra rasti pusiausvyrą tarp saugumo ir vartotojo patogumo. Reguliariai tikrinant ir tobulinant realių scenarijų gaudyklės logiką, programa gali be problemų apdoroti didelius užklausų kiekius. Geriausios prieigos raktų valdymo praktikos taikymas gali padėti išlaikyti saugią ir patogią patirtį per seansus. 👨‍💻

Nuorodos ir ištekliai JWT perėmėjui įgyvendinti
  1. Išsamią informaciją apie HTTP perėmėjų kūrimą Angular galite rasti oficialioje Angular dokumentacijoje: Kampinis HTTP vadovas .
  2. Norėdami gauti įžvalgų apie JWT prieigos raktų atnaujinimo mechanizmų valdymą ir geriausią praktiką, žr „Auth0“ atnaujinimo žetonų vadovas .
  3. RxJS biblioteka siūlo išsamią informaciją apie šiame straipsnyje naudojamus operatorius, įskaitant switchMap ir gaudymo klaida: RxJS operatoriaus vadovas .
  4. Kampinio bandymo strategijoms su HttpTestingController, patikrinkite Angular testavimo paslaugų išteklius: Kampinio HTTP testavimo vadovas .