Вирішення JWT Refresh Token Handling в Angular за допомогою HttpInterceptor

Temp mail SuperHeros
Вирішення JWT Refresh Token Handling в Angular за допомогою HttpInterceptor
Вирішення JWT Refresh Token Handling в Angular за допомогою HttpInterceptor
Daniel Marino
субота, 16 листопада 2024 р. о 01:38:43

Забезпечення безперебійного оновлення JWT у перехоплювачах Angular

У веб-програмі із захищеними сеансами користувача ефективне керування короткочасними токенами JWT є вирішальним для безперервної взаємодії з користувачем. Коли термін дії токенів закінчується, користувачі часто стикаються з такими проблемами, як примусовий повторний вхід, що може бути неприємним і перешкоджати взаємодії користувача. Щоб вирішити цю проблему, розробники зазвичай впроваджують автоматичне оновлення токенів за допомогою перехоплювача Angular для обробки прострочених сеансів. 🕰️

Цей підхід передбачає перехоплення HTTP-запитів, перелов помилок 401 (неавторизованих запитів), а потім виклик процесу оновлення для отримання нового токена. Однак можуть виникнути проблеми із забезпеченням застосування оновленого маркера або файлу cookie до повторних запитів. Якщо новий маркер не розповсюджується належним чином, повторна спроба може виявитися невдалою, залишаючи користувачам ту саму помилку авторизації та потенційно порушуючи робочі процеси програми.

У цьому посібнику ми розглянемо практичну реалізацію цього шаблону перехоплювача. Ми розглянемо, як виявляти помилки, оновлювати маркери та підтверджувати, що запити повторюються з дійсною авторизацією. Цей підхід мінімізує переривання, надаючи вам контроль над процесом поновлення сесії.

Наприкінці ви дізнаєтесь, як усунути типові підводні камені, як-от обробка HttpOnly cookies і керування послідовністю оновлення під час великої кількості запитів. Цей метод гарантує, що ваша програма може підтримувати безпечний, плавний сеанс користувача без постійних входів. 🔒

Команда Приклад використання
catchError Використовується в конвеєрі Observable для виявлення та обробки помилок, які виникають під час HTTP-запитів, дозволяючи перехоплювачу перехоплювати помилки 401 спеціально для оновлення маркерів або обробки неавторизованих запитів.
switchMap Перемикається на новий спостережуваний, який зазвичай використовується тут для обробки повторної спроби HTTP після оновлення маркера. Перемикаючи потоки, він замінює попередній обсервабель, забезпечуючи обробку лише повторного запиту з новим маркером.
BehaviorSubject Спеціалізований предмет RxJS, який використовується для підтримки стану оновлення маркера в запитах HTTP. На відміну від звичайного Subject, BehaviorSubject зберігає останнє передане значення, що корисно для обробки одночасних помилок 401.
clone Клонує об’єкт HttpRequest із оновленими властивостями, наприклад withCredentials: true. Це дозволяє надсилати файли cookie разом із запитом, зберігаючи вихідну конфігурацію запиту.
pipe З’єднує декілька операторів RxJS разом у Observable. У цьому перехоплювачі труба необхідна для формування обробки помилок і логіки повторних спроб після оновлення маркера.
of Утиліта RxJS, яка створює обсервабель із значення. Під час тестування of(true) використовується для імітації успішної відповіді від refreshToken, допомагаючи в модульних тестах перехоплювача.
HttpTestingController Утиліта з модуля тестування Angular, яка дозволяє перехоплювати та контролювати HTTP-запити в тестовому середовищі. Це допомагає імітувати відповіді та стверджувати, що запити були правильно оброблені перехоплювачем.
flush Використовується з HttpTestingController для ручного виконання HTTP-запиту в рамках тесту, дозволяючи симулювати такі відповіді, як 401 Unauthorized. Це гарантує, що логіка оновлення перехоплювача активується належним чином.
getValue Отримує доступ до поточного значення BehaviorSubject, яке є важливим у цьому перехоплювачі для перевірки, чи процес оновлення маркера вже триває, уникаючи багаторазових запитів на оновлення.

Забезпечення надійної автентифікації JWT за допомогою перехоплювачів Angular

У наведеному вище прикладі перехоплювач призначений для автоматичного оновлення короткочасного JWT-токена щоразу, коли виникає помилка 401. Такий тип налаштувань важливий у програмах із конфіденційними даними, де підтримка безпеки сеансу має вирішальне значення, але робота користувача не повинна перериватися. Перехоплювач виявляє помилку 401 (Unauthorized) і ініціює запит маркера оновлення, щоб поновити сеанс, не вимагаючи від користувача повторної автентифікації. Цей процес ініціюється функцією catchError, яка дозволяє обробляти помилки в спостережуваному конвеєрі. Тут будь-яка помилка HTTP, зокрема 401, сигналізує про те, що термін дії маркера, ймовірно, закінчився, і ініціює процес оновлення.

Функція switchMap є ще одним ключовим елементом тут; він створює новий обсервабельний потік для оновленого запиту, замінюючи старий обсервабель, не скасовуючи весь потік. Після оновлення він повторює вихідний запит, гарантуючи, що новий маркер застосовано. Перемикаючись зі старого спостережуваного на новий, перехоплювач може виконувати оновлення маркера безперебійним способом без блокування. Цей метод особливо цінний під час роботи з програмами в реальному часі, оскільки він зменшує переривання взаємодії користувачів, зберігаючи безпечну автентифікацію. Наприклад, користувач, який переглядає захищену фінансову інформаційну панель, не буде переспрямований або виходить із системи без потреби; натомість новий маркер отримується та застосовується у фоновому режимі. 🔄

Крім того, BehaviorSubject відіграє вирішальну роль, керуючи станом процесу оновлення. Ця утиліта RxJS може зберігати останнє видане значення, що особливо корисно, коли кілька запитів стикаються з помилкою 401 одночасно. Замість того, щоб запускати кілька оновлень, перехоплювач ініціює лише одне оновлення маркера, а всі інші запити ставляться в чергу для очікування цього єдиного оновлення маркера. Використання BehaviorSubject із switchMap допомагає гарантувати, що якщо один запит ініціює оновлення, усі інші запити, які потребують нового маркера, використовуватимуть оновлені облікові дані, не викликаючи повторних викликів оновлення. Ця функція надзвичайно корисна у випадках, коли користувачі можуть мати кілька відкритих вкладок або програма керує декількома одночасними мережевими викликами, таким чином економлячи ресурси та уникаючи надмірного навантаження на сервер.

Перевірка цієї логіки перехоплювача також є важливою для забезпечення її роботи в різних сценаріях, тому ми включаємо HttpTestingController. Цей інструмент тестування Angular дає нам змогу симулювати та тестувати HTTP-відповіді, як-от статус 401 Unauthorized, у контрольованому середовищі. Використовуючи flush, метод, наданий HttpTestingController, розробники можуть симулювати реальні реакції на помилки та перевіряти, що перехоплювач поводиться належним чином. Цей підхід до тестування дозволяє нам уточнити, наскільки добре логіка оновлення обробляє різні випадки перед розгортанням програми. За допомогою цих методів перехоплювач не тільки надійно зберігає сеанс, але й забезпечує більш плавну та стабільну роботу для користувачів, які переміщуються програмою. 👩‍💻

Впровадження перехоплювача JWT за допомогою Angular: вирішення проблем обробки помилок і оновлення маркерів

Використання Angular із модульною структурою сервісу для обробки помилок і керування сеансами

import { Injectable } from '@angular/core';
import { HttpEvent, HttpInterceptor, HttpHandler, HttpRequest, HttpErrorResponse } from '@angular/common/http';
import { catchError, switchMap } from 'rxjs/operators';
import { Observable, throwError, BehaviorSubject } from 'rxjs';
import { AuthService } from './auth.service';
import { Router } from '@angular/router';
@Injectable()
export class JwtInterceptor implements HttpInterceptor {
  private refreshTokenInProgress$ = new BehaviorSubject<boolean>(false);
  constructor(private authService: AuthService, private router: Router) {}
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({ withCredentials: true });
    return next.handle(req).pipe(
      catchError((error: HttpErrorResponse) => {
        if (error.status === 401) {
          return this.handle401Error(req, next);
        }
        return throwError(() => error);
      })
    );
  }
  private handle401Error(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    if (!this.refreshTokenInProgress$.getValue()) {
      this.refreshTokenInProgress$.next(true);
      return this.authService.refreshToken().pipe(
        switchMap(() => {
          this.refreshTokenInProgress$.next(false);
          return next.handle(req.clone({ withCredentials: true }));
        }),
        catchError((error) => {
          this.refreshTokenInProgress$.next(false);
          this.authService.logout();
          this.router.navigate(['/login'], { queryParams: { returnUrl: req.url } });
          return throwError(() => error);
        })
      );
    }
    return this.refreshTokenInProgress$.pipe(
      switchMap(() => next.handle(req.clone({ withCredentials: true })))
    );
  }
}

Тест Angular Unit для обробки оновлення маркерів перехоплювача JWT

Тестування оновлення JWT і обробки помилок HTTP в перехоплювачі Angular

import { TestBed } from '@angular/core/testing';
import { HttpClientTestingModule, HttpTestingController } from '@angular/common/http/testing';
import { JwtInterceptor } from './jwt.interceptor';
import { HTTP_INTERCEPTORS, HttpClient } from '@angular/common/http';
import { AuthService } from './auth.service';
describe('JwtInterceptor', () => {
  let httpMock: HttpTestingController;
  let authServiceSpy: jasmine.SpyObj<AuthService>;
  let httpClient: HttpClient;
  beforeEach(() => {
    authServiceSpy = jasmine.createSpyObj('AuthService', ['refreshToken', 'logout']);
    TestBed.configureTestingModule({
      imports: [HttpClientTestingModule],
      providers: [
        JwtInterceptor,
        { provide: HTTP_INTERCEPTORS, useClass: JwtInterceptor, multi: true },
        { provide: AuthService, useValue: authServiceSpy }
      ]
    });
    httpMock = TestBed.inject(HttpTestingController);
    httpClient = TestBed.inject(HttpClient);
  });
  afterEach(() => {
    httpMock.verify();
  });
  it('should refresh token on 401 error and retry request', () => {
    authServiceSpy.refreshToken.and.returnValue(of(true));
    httpClient.get('/test').subscribe();
    const req = httpMock.expectOne('/test');
    req.flush(null, { status: 401, statusText: 'Unauthorized' });
    expect(authServiceSpy.refreshToken).toHaveBeenCalled();
  });
});

Розширення стратегій оновлення токенів JWT за допомогою перехоплювачів Angular

Критичний аспект використання Angular Перехоплювач токенів JWT для безпечних програм ефективно справляється зі складнощами керування автентифікацією та закінченням сеансу. Крім простого виявлення помилок 401 і оновлення маркерів, важливо подумати про обробку кількох запитів і оптимізувати оновлення маркерів. Коли кілька запитів стикаються з помилкою 401 одночасно, реалізація черги або механізму блокування може бути надзвичайно корисною, щоб гарантувати, що оновлення лише одного маркера відбувається одночасно. Цей підхід запобігає непотрібним викликам API і зменшує навантаження, особливо в програмах із високим трафіком, одночасно дозволяючи всім запитам у черзі виконуватися після оновлення.

Перехоплювачі Angular також дозволяють нам оптимізувати те, як ми обробляємо зберігання та отримання токенів. Замість жорсткого кодування токенів у локальному сховищі краще використовувати Angular Файли cookie лише Http і захист CSRF для підвищення безпеки. За допомогою файлів cookie HttpOnly JavaScript не може отримати доступ до JWT або маніпулювати ним, що значно покращує безпеку, але додає нову проблему: гарантувати, що запити отримують оновлені файли cookie автоматично. Вбудований Angular withCredentials Параметр — це рішення, яке вказує браузеру включати ці файли cookie під час кожного запиту.

У робочому середовищі доцільно проводити тести продуктивності, щоб перевірити, як програма поводиться під навантаженням із оновленням маркерів. Налаштування тестування можуть імітувати великі обсяги запитів, забезпечуючи ефективне масштабування логіки перехоплювача. На практиці це налаштування мінімізує ризик помилок, пов’язаних із маркерами, які впливають на роботу користувача. Стратегія перехоплення в поєднанні з належною обробкою файлів cookie та тестуванням допомагає підтримувати безперебійну, зручну та безпечну програму — незалежно від того, чи програма керує критично важливими фінансовими даними чи сеансами користувачів соціальної платформи. 🌐🔐

Поширені запитання щодо обробки токенів JWT за допомогою перехоплювачів Angular

  1. Як робить catchError допомогти з обробкою токенів JWT?
  2. Використання catchError всередині перехоплювача дозволяє нам ідентифікувати помилку 401 і безперешкодно запускати запити на оновлення токенів, коли термін дії токенів закінчується.
  3. Чому BehaviorSubject використовується замість Subject для відстеження статусу оновлення?
  4. BehaviorSubject зберігає останнє передане значення, що робить його корисним для керування станами оновлення для одночасних запитів без запуску кількох викликів оновлення.
  5. Яку роль виконує switchMap грати в повторних запитах HTTP?
  6. switchMap дозволяє перемикатися від спостережуваного оновлення маркера до повторного запиту HTTP, забезпечуючи завершення лише останнього спостережуваного.
  7. Як я можу протестувати перехоплювач в Angular?
  8. Кутові HttpTestingController корисний для симуляції відповідей HTTP, включаючи помилку 401, для перевірки правильності роботи логіки перехоплювача.
  9. Навіщо використовувати withCredentials у клонованому запиті?
  10. The withCredentials прапор гарантує, що безпечні файли cookie HttpOnly включені в кожен запит, що важливо для підтримки безпечних сеансів.
  11. Як я можу оптимізувати обробку оновлення маркерів за інтенсивного трафіку?
  12. Використання єдиного BehaviorSubject або механізм блокування може допомогти запобігти багаторазовим запитам на оновлення, покращуючи продуктивність у сценаріях із високим трафіком.
  13. Як перехоплювач впливає на роботу користувача після закінчення сеансу?
  14. Перехоплювач забезпечує автоматичне поновлення сеансу, тому користувачі не виходять із системи несподівано, що забезпечує більш плавну роботу користувача.
  15. Як робить clone допомогти у зміні запитів?
  16. clone створює копію запиту зі зміненими властивостями, як-от налаштування withCredentials, не змінюючи початковий запит.
  17. Чи працює перехоплювач із сеансами кількох користувачів?
  18. Так, але кожен сеанс повинен керувати своїм JWT незалежно, або логіку оновлення слід адаптувати для кількох сеансів.
  19. Чи може перехоплювач обробляти помилки, відмінні від 401?
  20. Так, перехоплювач можна розширити, щоб перехоплювати інші помилки, такі як 403 Forbidled, і відповідним чином обробляти їх для кращого UX.

Спрощення оновлення токенів JWT у додатках Angular

Ефективне керування маркерами JWT має вирішальне значення для покращення взаємодії з користувачем і безпеки в додатках Angular. Впровадивши перехоплювач для виявлення помилок 401 і автоматичного ініціювання оновлення маркера, ви можете уникнути примусового виходу з системи та забезпечити безперебійний потік користувачів. Крім того, обробка одночасних запитів під час оновлення за допомогою BehaviorSubject, забезпечує лише один виклик оновлення, оптимізуючи використання ресурсів.

Зрештою, мета полягає в тому, щоб знайти баланс між безпекою та зручністю для користувача. Регулярне тестування та вдосконалення логіки перехоплювача для сценаріїв реального світу дозволяє вашому додатку без проблем обробляти велику кількість запитів. Застосування найкращих практик керування маркерами може допомогти підтримувати безпечний і зручний досвід під час сеансів. 👨‍💻

Посилання та ресурси для впровадження перехоплювача JWT
  1. Детальну інформацію про створення HTTP-перехоплювачів в Angular можна знайти в офіційній документації Angular: Angular HTTP Guide .
  2. Інформацію про керування механізмами оновлення токенів JWT і передові практики див Керівництво по оновленню токенів Auth0 .
  3. Бібліотека RxJS пропонує докладні відомості про оператори, які використовуються в цій статті, зокрема switchMap і catchError: Посібник оператора RxJS .
  4. Для стратегій тестування Angular с HttpTestingController, перевірте ресурси тестових утиліт Angular: Angular HTTP Testing Guide .