Het oplossen van JWT Refresh Token-verwerking in Angular met HttpInterceptor

Temp mail SuperHeros
Het oplossen van JWT Refresh Token-verwerking in Angular met HttpInterceptor
Het oplossen van JWT Refresh Token-verwerking in Angular met HttpInterceptor
Daniel Marino
Vrijdag 15 november 2024 om 23:37:54

Zorgen voor naadloze JWT-vernieuwing in hoekige interceptors

In een webapp met beveiligde gebruikerssessies is het effectief beheren van kortstondige JWT-tokens cruciaal voor een ononderbroken gebruikerservaring. Wanneer tokens verlopen, ondervinden gebruikers vaak problemen, zoals het gedwongen opnieuw inloggen, wat frustrerend kan zijn en de betrokkenheid van gebruikers kan verstoren. Om dit aan te pakken, implementeren ontwikkelaars gewoonlijk automatische tokenvernieuwing met behulp van een Angular-interceptor om verlopen sessies af te handelen. đŸ•°ïž

Deze aanpak omvat het onderscheppen van HTTP-verzoeken, het onderscheppen van 401-fouten (niet-geautoriseerde verzoeken) en het vervolgens starten van een vernieuwingsproces om een ​​nieuw token te verkrijgen. Er kunnen echter problemen optreden bij het garanderen dat het bijgewerkte token of cookie wordt toegepast op de opnieuw geprobeerde verzoeken. Als het nieuwe token niet correct wordt doorgegeven, kan de nieuwe poging mislukken, waardoor gebruikers met dezelfde autorisatiefout blijven zitten en de app-workflows mogelijk worden verstoord.

In deze handleiding bespreken we een praktische implementatie van dit interceptorpatroon. We bekijken hoe u fouten kunt opsporen, tokens kunt vernieuwen en kunt bevestigen dat verzoeken opnieuw worden geprobeerd met geldige autorisatie. Deze aanpak minimaliseert onderbrekingen en geeft u controle over het sessievernieuwingsproces.

Aan het einde krijgt u inzicht in hoe u veelvoorkomende valkuilen kunt aanpakken, zoals het omgaan met HttpOnly-cookies en het beheren van vernieuwingsreeksen tijdens hoge verzoekvolumes. Deze methode zorgt ervoor dat uw applicatie een veilige, soepele gebruikerssessie kan onderhouden zonder voortdurend inloggen. 🔒

Commando Voorbeeld van gebruik
catchError Wordt gebruikt binnen een Observable-pijplijn om fouten op te vangen en af ​​te handelen die optreden tijdens HTTP-verzoeken, waardoor de interceptor 401-fouten kan onderscheppen, specifiek voor het vernieuwen van tokens of het afhandelen van ongeautoriseerde verzoeken.
switchMap Schakelt over naar een nieuwe waarneembare waarde, die hier doorgaans wordt gebruikt om de HTTP-nieuwe poging af te handelen nadat een token is vernieuwd. Door van stream te wisselen, wordt het eerder waarneembare vervangen, zodat alleen het opnieuw geprobeerde verzoek met het nieuwe token wordt verwerkt.
BehaviorSubject Een gespecialiseerd RxJS-onderwerp dat wordt gebruikt om de tokenvernieuwingsstatus voor HTTP-verzoeken te behouden. In tegenstelling tot het reguliere Subject behoudt BehaviorSubject de laatst verzonden waarde, wat handig is bij het afhandelen van gelijktijdige 401-fouten.
clone Kloont het HttpRequest-object met bijgewerkte eigenschappen zoals withCredentials: true. Hierdoor kunnen er cookies meegestuurd worden met het verzoek, terwijl de oorspronkelijke verzoekconfiguratie behouden blijft.
pipe Koppelt meerdere RxJS-operators aan elkaar in een Observable. In deze interceptor is pipe essentieel voor het samenstellen van foutafhandeling en logica voor opnieuw proberen na een tokenvernieuwing.
of Een RxJS-hulpprogramma dat een waarneembare waarde creĂ«ert. Bij het testen wordt of(true) gebruikt om een ​​succesvolle reactie van refreshToken te simuleren, wat helpt bij de unit-tests van de interceptor.
HttpTestingController Een hulpprogramma uit de testmodule van Angular waarmee HTTP-verzoeken in een testomgeving kunnen worden onderschept en beheerd. Het helpt bij het simuleren van reacties en beweert dat verzoeken correct zijn afgehandeld door de interceptor.
flush Wordt gebruikt met HttpTestingController om handmatig een HTTP-verzoek binnen een test te voltooien, waardoor simulatie van antwoorden zoals 401 Unauthorized mogelijk wordt. Dit zorgt ervoor dat de vernieuwingslogica van de interceptor wordt geactiveerd zoals verwacht.
getValue Krijgt toegang tot de huidige waarde van een BehaviorSubject, wat essentieel is in deze interceptor om te verifiëren of het tokenvernieuwingsproces al aan de gang is, waardoor meerdere vernieuwingsverzoeken worden vermeden.

Garanderen van betrouwbare JWT-authenticatie met Angular Interceptors

In het bovenstaande voorbeeld is de interceptor ontworpen om automatisch een kortstondig JWT-token te vernieuwen wanneer er een 401-fout wordt aangetroffen. Dit soort instellingen is essentieel in toepassingen met gevoelige gegevens, waarbij het handhaven van sessiebeveiliging van cruciaal belang is, maar de gebruikerservaring niet mag worden onderbroken. De interceptor vangt de 401 (niet-geautoriseerde) fout op en initieert een vernieuwingstokenverzoek om de sessie te vernieuwen zonder dat de gebruiker zich opnieuw hoeft te authenticeren. Dit proces wordt geactiveerd door de functie catchError, die foutafhandeling binnen een waarneembare pijplijn mogelijk maakt. Hier geeft elke HTTP-fout, met name een 401, aan dat het token waarschijnlijk is verlopen en wordt het vernieuwingsproces gestart.

De functie switchMap is hier een ander kernelement; het creĂ«ert een nieuwe waarneembare stroom voor het vernieuwde verzoek, waarbij de oude waarneembare stroom wordt vervangen zonder de hele stroom te annuleren. Na het vernieuwen wordt het oorspronkelijke verzoek opnieuw uitgevoerd, waarbij ervoor wordt gezorgd dat het nieuwe token wordt toegepast. Door over te schakelen van het oude waarneembare naar het nieuwe, kan de interceptor de tokenvernieuwing op een naadloze, niet-blokkerende manier uitvoeren. Deze techniek is vooral waardevol bij het werken met realtime applicaties, omdat het onderbrekingen in gebruikersinteracties vermindert terwijl de veilige authenticatie behouden blijft. Een gebruiker die door een beveiligd financieel dashboard bladert, wordt bijvoorbeeld niet onnodig omgeleid of uitgelogd; in plaats daarvan wordt het nieuwe token op de achtergrond verkregen en toegepast. 🔄

Bovendien speelt het BehaviorSubject een cruciale rol bij het beheren van de status van het vernieuwingsproces. Dit RxJS-hulpprogramma kan de laatst verzonden waarde behouden, wat vooral handig is wanneer meerdere verzoeken tegelijkertijd een 401-fout tegenkomen. In plaats van meerdere vernieuwingen te activeren, initieert de interceptor slechts Ă©Ă©n tokenvernieuwing en worden alle andere verzoeken in de wachtrij geplaatst om te wachten op deze enkele tokenvernieuwing. Het gebruik van BehaviorSubject met switchMap zorgt ervoor dat als Ă©Ă©n verzoek de vernieuwing activeert, alle andere verzoeken waarvoor het nieuwe token nodig is, de bijgewerkte inloggegevens zullen gebruiken zonder herhaalde vernieuwingsaanroepen te veroorzaken. Deze functie is uiterst nuttig in gevallen waarin gebruikers meerdere geopende tabbladen hebben, of de app meerdere gelijktijdige netwerkoproepen beheert, waardoor bronnen worden bespaard en overmatige serverbelasting wordt vermeden.

Het testen van deze interceptorlogica is ook essentieel om ervoor te zorgen dat deze onder verschillende scenario's werkt. Daarom nemen we de HttpTestingController op. Met deze Angular-testtool kunnen we HTTP-reacties, zoals de 401 Unauthorized-status, in een gecontroleerde omgeving simuleren en testen. Met behulp van flush, een methode van HttpTestingController, kunnen ontwikkelaars foutreacties uit de echte wereld simuleren en verifiĂ«ren dat de interceptor zich gedraagt ​​zoals verwacht. Met deze testaanpak kunnen we verfijnen hoe goed de vernieuwingslogica verschillende cases afhandelt voordat de app wordt geĂŻmplementeerd. Met deze methoden bewaart de interceptor niet alleen de sessie veilig, maar biedt hij ook een meer naadloze, stabiele ervaring voor gebruikers die door de app navigeren. đŸ‘©â€đŸ’»

Implementatie van JWT Interceptor met Angular: foutafhandeling en vernieuwingstokenoplossing

Gebruik van Angular met modulaire servicestructuur voor foutafhandeling en sessiebeheer

import { Injectable } from '@angular/core';
import { HttpEvent, HttpInterceptor, HttpHandler, HttpRequest, HttpErrorResponse } from '@angular/common/http';
import { catchError, switchMap } from 'rxjs/operators';
import { Observable, throwError, BehaviorSubject } from 'rxjs';
import { AuthService } from './auth.service';
import { Router } from '@angular/router';
@Injectable()
export class JwtInterceptor implements HttpInterceptor {
  private refreshTokenInProgress$ = new BehaviorSubject<boolean>(false);
  constructor(private authService: AuthService, private router: Router) {}
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({ withCredentials: true });
    return next.handle(req).pipe(
      catchError((error: HttpErrorResponse) => {
        if (error.status === 401) {
          return this.handle401Error(req, next);
        }
        return throwError(() => error);
      })
    );
  }
  private handle401Error(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    if (!this.refreshTokenInProgress$.getValue()) {
      this.refreshTokenInProgress$.next(true);
      return this.authService.refreshToken().pipe(
        switchMap(() => {
          this.refreshTokenInProgress$.next(false);
          return next.handle(req.clone({ withCredentials: true }));
        }),
        catchError((error) => {
          this.refreshTokenInProgress$.next(false);
          this.authService.logout();
          this.router.navigate(['/login'], { queryParams: { returnUrl: req.url } });
          return throwError(() => error);
        })
      );
    }
    return this.refreshTokenInProgress$.pipe(
      switchMap(() => next.handle(req.clone({ withCredentials: true })))
    );
  }
}

Hoekeenheidstest voor verwerking van JWT Interceptor-tokenvernieuwing

Testen van JWT-vernieuwing en HTTP-foutafhandeling in de interceptor van Angular

import { TestBed } from '@angular/core/testing';
import { HttpClientTestingModule, HttpTestingController } from '@angular/common/http/testing';
import { JwtInterceptor } from './jwt.interceptor';
import { HTTP_INTERCEPTORS, HttpClient } from '@angular/common/http';
import { AuthService } from './auth.service';
describe('JwtInterceptor', () => {
  let httpMock: HttpTestingController;
  let authServiceSpy: jasmine.SpyObj<AuthService>;
  let httpClient: HttpClient;
  beforeEach(() => {
    authServiceSpy = jasmine.createSpyObj('AuthService', ['refreshToken', 'logout']);
    TestBed.configureTestingModule({
      imports: [HttpClientTestingModule],
      providers: [
        JwtInterceptor,
        { provide: HTTP_INTERCEPTORS, useClass: JwtInterceptor, multi: true },
        { provide: AuthService, useValue: authServiceSpy }
      ]
    });
    httpMock = TestBed.inject(HttpTestingController);
    httpClient = TestBed.inject(HttpClient);
  });
  afterEach(() => {
    httpMock.verify();
  });
  it('should refresh token on 401 error and retry request', () => {
    authServiceSpy.refreshToken.and.returnValue(of(true));
    httpClient.get('/test').subscribe();
    const req = httpMock.expectOne('/test');
    req.flush(null, { status: 401, statusText: 'Unauthorized' });
    expect(authServiceSpy.refreshToken).toHaveBeenCalled();
  });
});

Uitbreiding van JWT-tokenvernieuwingsstrategieën met hoekige interceptors

Een cruciaal aspect van het gebruik van een Angular JWT-token-interceptor voor veilige toepassingen gaat efficiënt om met de complexiteit van het beheer van authenticatie en het verlopen van sessies. Naast het alleen opvangen van 401-fouten en het vernieuwen van tokens, is het essentieel om na te denken over de afhandeling van meerdere verzoeken en hoe u het vernieuwen van tokens kunt optimaliseren. Wanneer meerdere verzoeken tegelijkertijd een 401-fout tegenkomen, kan het implementeren van een wachtrij- of vergrendelingsmechanisme uiterst nuttig zijn om ervoor te zorgen dat er slechts één tokenvernieuwing tegelijk plaatsvindt. Deze aanpak voorkomt onnodige API-aanroepen en vermindert de belasting, vooral bij toepassingen met veel verkeer, terwijl alle verzoeken in de wachtrij na de vernieuwing door kunnen gaan.

Met de interceptors van Angular kunnen we ook de manier waarop we omgaan met de opslag en het ophalen van tokens stroomlijnen. In plaats van tokens hard te coderen in de lokale opslag, kunt u het beste Angular's gebruiken HttpOnly-cookies en CSRF-bescherming om de veiligheid te verbeteren. Met HttpOnly-cookies kan de JWT niet worden benaderd of gemanipuleerd door JavaScript, waardoor de beveiliging aanzienlijk wordt verbeterd, maar een nieuwe uitdaging wordt toegevoegd: ervoor zorgen dat verzoeken de vernieuwde cookie automatisch oppikken. Angular is ingebouwd withCredentials optie is een oplossing, waarbij de browser wordt geĂŻnstrueerd om deze cookies bij elk verzoek op te nemen.

In een productieomgeving is het raadzaam om prestatietests uit te voeren over hoe de applicatie zich gedraagt ​​onder belasting met tokenvernieuwingen. Testopstellingen kunnen hoge verzoekvolumes simuleren, waardoor de logica van de interceptor efficiĂ«nt kan worden geschaald. In de praktijk minimaliseert deze opstelling het risico op tokengerelateerde fouten die van invloed zijn op de gebruikerservaring. De interceptorstrategie, gecombineerd met de juiste omgang met en testen van cookies, helpt een naadloze, gebruiksvriendelijke en veilige applicatie te behouden, ongeacht of de app kritieke financiĂ«le gegevens beheert of de gebruikerssessies van een sociaal platform. 🌐🔐

Veelgestelde vragen over het omgaan met JWT-tokens met hoekige interceptors

  1. Hoe werkt catchError hulp bij het verwerken van JWT-tokens?
  2. Gebruiken catchError binnen een interceptor kunnen we 401-fouten identificeren en naadloos verzoeken voor tokenvernieuwing activeren wanneer tokens verlopen.
  3. Waarom is BehaviorSubject gebruikt in plaats van Subject voor het bijhouden van de vernieuwingsstatus?
  4. BehaviorSubject behoudt de laatst verzonden waarde, waardoor het nuttig is voor het beheren van vernieuwingsstatussen voor gelijktijdige verzoeken zonder meerdere vernieuwingsaanroepen te activeren.
  5. Welke rol speelt switchMap spelen bij het opnieuw proberen van HTTP-verzoeken?
  6. switchMap maakt het mogelijk om over te schakelen van de waarneembare tokenvernieuwing naar de opnieuw geprobeerde HTTP-aanvraag, waardoor alleen de laatste waarneembare voltooiingen worden gegarandeerd.
  7. Hoe kan ik de interceptor in Angular testen?
  8. Hoekige's HttpTestingController is handig voor het simuleren van HTTP-reacties, inclusief 401-fouten, om te verifiëren dat de interceptorlogica correct werkt.
  9. Waarom gebruiken withCredentials in het gekloonde verzoek?
  10. De withCredentials flag zorgt ervoor dat veilige HttpOnly-cookies in elk verzoek worden opgenomen, wat belangrijk is voor het onderhouden van veilige sessies.
  11. Hoe kan ik de afhandeling van tokensvernieuwing optimaliseren bij druk verkeer?
  12. Een enkele gebruiken BehaviorSubject of een vergrendelingsmechanisme kan meerdere vernieuwingsverzoeken helpen voorkomen, waardoor de prestaties in scenario's met veel verkeer worden verbeterd.
  13. Welke invloed heeft de interceptor op de gebruikerservaring bij het verlopen van de sessie?
  14. De interceptor maakt automatische sessieverlenging mogelijk, zodat gebruikers niet onverwachts worden uitgelogd, wat een soepelere gebruikerservaring mogelijk maakt.
  15. Hoe werkt clone hulp bij het aanpassen van aanvragen?
  16. clone maakt een kopie van het verzoek met gewijzigde eigenschappen, zoals setting withCredentials, zonder het oorspronkelijke verzoek te wijzigen.
  17. Werkt de interceptor met meerdere gebruikerssessies?
  18. Ja, maar elke sessie moet zijn JWT onafhankelijk beheren, of de vernieuwingslogica moet worden aangepast voor meerdere sessies.
  19. Kan de interceptor niet-401-fouten verwerken?
  20. Ja, de interceptor kan worden uitgebreid om andere fouten op te vangen, zoals 403 Forbidden, en deze op de juiste manier af te handelen voor een betere UX.

Stroomlijning van JWT-tokenvernieuwing in hoekige toepassingen

Effectief JWT-tokenbeheer is cruciaal voor het verbeteren van zowel de gebruikerservaring als de beveiliging in Angular-applicaties. Door een interceptor te implementeren die 401-fouten opspoort en automatisch een tokenvernieuwing initieert, kunt u gedwongen afmeldingen voorkomen en een naadloze gebruikersstroom bieden. Bovendien kunt u gelijktijdige aanvragen tijdens het vernieuwen afhandelen met behulp van GedragOnderwerp, zorgt ervoor dat er slechts Ă©Ă©n vernieuwingsoproep wordt gedaan, waardoor het gebruik van bronnen wordt geoptimaliseerd.

Uiteindelijk is het doel om een ​​balans te vinden tussen veiligheid en gebruikersgemak. Door de interceptorlogica regelmatig te testen en te verfijnen voor scenario's uit de echte wereld, kan uw app zonder problemen grote aantallen verzoeken verwerken. Het toepassen van best practices op het gebied van tokenbeheer kan helpen een veilige, gebruiksvriendelijke ervaring tijdens sessies te behouden. đŸ‘šâ€đŸ’»

Referenties en bronnen voor de implementatie van JWT Interceptor
  1. Gedetailleerde informatie over het maken van HTTP-interceptors in Angular is te vinden in de officiële Angular-documentatie: Hoekige HTTP-gids .
  2. Voor inzichten over het beheren van mechanismen voor het vernieuwen van JWT-tokens en best practices, raadpleegt u Auth0's gids voor vernieuwingstokens .
  3. De RxJS-bibliotheek biedt uitgebreide details over de operators die in dit artikel worden gebruikt, inclusief schakelkaart En catchFout: RxJS-operatorhandleiding .
  4. Voor hoekige teststrategieën met HttpTestingController, bekijk de bronnen op de testhulpprogramma's van Angular: Hoekige HTTP-testgids .