专栏首页前端知否构建Vue项目-身份验证

构建Vue项目-身份验证

通常,在开始使用新框架或新语言工作时,我会尝试查找尽可能多的最佳实践,而我更喜欢从一个易于理解,维护和升级的良好结构开始。在这篇文章中,我将尝试解释自己的想法,并将过去几年中获得的所有知识与最新,最好的Web开发实践结合起来。

我们将共同构建一个简单的项目,该项目处理身份验证并准备在构建应用程序其余部分时要使用的基本脚手架。

我们将使用:

  • Vue.js 2.5 和 Vue-CLI
  • Vuex 3.0
  • Axios 0.18
  • Vue Router3.0

这是最终项目结构。假设您已经阅读了Vue,Vuex和Vue Router文档,并且了解了其中的基础知识。

└── src
    ├── App.vue
    ├── assets
    │   └── logo.png
    ├── components
    │   └── HelloWorld.vue
    ├── main.js
    ├── router.js
    ├── services
    │   ├── api.service.js
    │   ├── storage.service.js
    │   └── user.service.js
    ├── store
    │   ├── auth.module.js
    │   └── index.js
    └── views
        ├── About.vue
        ├── Home.vue
        └── LoginView.vue

受保护的页面

首先,让我们保护某些URL,使其仅登录用户才能访问。为此,我们需要编辑router.js。我采用的方法是所有页面都是私有的,除了我们直接标记为公共的页面之外。将可见性默认设置为私有,并通过显式地公开要公开的路由。

在下面的代码中,我们会使用Vue Router中的meta参数。登录授权之后,将重定向到他们登录之前尝试访问的页面。对于登录视图,它仅在用户未登录时才可访问,因此我们添加了一个名为onlyWhenLoggedOut的元字段,设置为true。

import Vue from 'vue'
import Router from 'vue-router'
import Home from './views/Home.vue'
import LoginView from './views/LoginView.vue'
import { TokenService } from './services/storage.service'

Vue.use(Router)

const router =  new Router({
  mode: 'history',
  base: process.env.BASE_URL,
  routes: [
    {
      path: '/',
      name: 'home',
      component: Home
    },
    {
      path: '/login',
      name: 'login',
      component: LoginView,
      meta: {
        public: true,  // 未登录时,允许访问
        onlyWhenLoggedOut: true
      }
    },
    {
      path: '/about',
      name: 'about',
      // 路由级别代码分割
      // 这个会生成一个单独的chunk (about.[hash].js)
      // 当路由访问时候,进行懒加载
      component: () => import(/* webpackChunkName: "about" */ './views/About.vue')
    },
  ]
})

router.beforeEach((to, from, next) => {
  const isPublic = to.matched.some(record => record.meta.public)
  const onlyWhenLoggedOut = to.matched.some(record => record.meta.onlyWhenLoggedOut)
  const loggedIn = !!TokenService.getToken();

  if (!isPublic && !loggedIn) {
    return next({
      path:'/login',
      query: {redirect: to.fullPath}  // 存储访问路径,登陆后重定向使用
    });
  }

  // 不允许用户访问登录注册页面,如果未登录
  if (loggedIn && onlyWhenLoggedOut) {
    return next('/')
  }

  next();
})


export default router;

您会注意到,我们导入了TokenService,该服务会返回token。TokenService在services / storage.service.js文件中,它负责封装和处理localStorage本地存储,访问,检索令牌的逻辑。

这样,我们就可以安全地从localStorage迁移到Cookie,而不必担心会破坏其他直接访问本地存储的服务或组件。这是一个很好的做法,可以避免将来出现麻烦。storage.service.js中的代码如下所示:

const TOKEN_KEY = 'access_token'
const REFRESH_TOKEN_KEY = 'refresh_token'

/**
 * 管理访问令牌存储和获取,从本地存储中
 *
 * 当前存储实现是使用localStorage. Local Storage可以被这个实例一直访问到
**/
const TokenService = {
    getToken() {
        return localStorage.getItem(TOKEN_KEY)
    },

    saveToken(accessToken) {
        localStorage.setItem(TOKEN_KEY, accessToken)
    },

    removeToken() {
        localStorage.removeItem(TOKEN_KEY)
    },

    getRefreshToken() {
        return localStorage.getItem(REFRESH_TOKEN_KEY)
    },

    saveRefreshToken(refreshToken) {
        localStorage.setItem(REFRESH_TOKEN_KEY, refreshToken)
    },

    removeRefreshToken() {
        localStorage.removeItem(REFRESH_TOKEN_KEY)
    }

}

export { TokenService }

发出API请求

关于API交互,我们可以使用与TokenService中相同的逻辑。提供一个基本服务,它将与网络进行所有交互,以便我们将来可以轻松地更改或升级内容。这正是我们使用api.service.js所要实现的目标—封装Axios库,以便在不可避免地出现新业务逻辑时,我们可以只对该单一服务进行升级,而不必重构整个应用程序。任何其他需要与API交互的服务都只需导入ApiService并通过我们已实现的方法发出请求。

import axios from 'axios'
import { TokenService } from '../services/storage.service'

const ApiService = {

    init(baseURL) {
        axios.defaults.baseURL = baseURL;
    },

    setHeader() {
        axios.defaults.headers.common["Authorization"] = `Bearer ${TokenService.getToken()}`
    },

    removeHeader() {
        axios.defaults.headers.common = {}
    },

    get(resource) {
        return axios.get(resource)
    },

    post(resource, data) {
        return axios.post(resource, data)
    },

    put(resource, data) {
        return axios.put(resource, data)
    },

    delete(resource) {
        return axios.delete(resource)
    },

    /**
     * 执行自定义Axios request.
     *
     * 属性参数:
     *  - method
     *  - url
     *  - data ... request payload
     *  - auth (optional)
     *    - username
     *    - password
    **/
    customRequest(data) {
        return axios(data)
    }
}

export default ApiService

您可能已经注意到那里有一个initsetHeader函数。我们将在main.js中初始化ApiService,以确保如果用户刷新页面后,重新设置header,并设置baseURL属性。

为了在development,stageing和production环境中动态更改URL,我使用了Vue CLI环境变量。

main.js文件中,导入相关服务模块之后,然后执行以下几行:

// 设置API base URL
ApiService.init(process.env.VUE_APP_ROOT_API)

// 如果token存在,那就设置header
if (TokenService.getToken()) {
  ApiService.setHeader()
}

到现在为止,我们知道了如何将用户重定向到登录页面,并且已经完成了一些基本的样板代码,这些代码可以帮助我们保持整洁且可维护的项目。让我们开始研究user.service.js,这样我们就可以真正发出请求,并了解如何使用我们刚创建的ApiService

import ApiService from './api.service'
import { TokenService } from './storage.service'


class AuthenticationError extends Error {
    constructor(errorCode, message) {
        super(message)
        this.name = this.constructor.name
        this.message = message
        this.errorCode = errorCode
    }
}

const UserService = {
    /**
     * 用户登录,保存访问令牌到TokenService
     *
     * @returns access_token
     * @throws AuthenticationError
    **/
    login: async function(email, password) {
        const requestData = {
            method: 'post',
            url: "/o/token/",
            data: {
                grant_type: 'password',
                username: email,
                password: password
            },
            auth: {
                username: process.env.VUE_APP_CLIENT_ID,
                password: process.env.VUE_APP_CLIENT_SECRET
            }
        }

        try {
            const response = await ApiService.customRequest(requestData)
            
            TokenService.saveToken(response.data.access_token)
            TokenService.saveRefreshToken(response.data.refresh_token)
            ApiService.setHeader()
            
            // 后边会讲到
            ApiService.mount401Interceptor();

            return response.data.access_token
        } catch (error) {
            throw new AuthenticationError(error.response.status, error.response.data.detail)
        }
    },

    /**
     * 刷新访问令牌
    **/
    refreshToken: async function() {
        const refreshToken = TokenService.getRefreshToken()

        const requestData = {
            method: 'post',
            url: "/o/token/",
            data: {
                grant_type: 'refresh_token',
                refresh_token: refreshToken
            },
            auth: {
                username: process.env.VUE_APP_CLIENT_ID,
                password: process.env.VUE_APP_CLIENT_SECRET
            }
        }

        try {
            const response = await ApiService.customRequest(requestData)

            TokenService.saveToken(response.data.access_token)
            TokenService.saveRefreshToken(response.data.refresh_token)

            // 刷新ApiService中的header
            ApiService.setHeader()

            return response.data.access_token
        } catch (error) {
            throw new AuthenticationError(error.response.status, error.response.data.detail)
        }

    },

    /**
     * 通过删除token,登出当前用户
     *
     * 也会删除`Authorization Bearer <token>` header
    **/
    logout() {
        // 删除token, 并且删除Api Service中的Authorization header
        TokenService.removeToken()
        TokenService.removeRefreshToken()
        ApiService.removeHeader()
        
        // 后边讲到
        ApiService.unmount401Interceptor()
    }
}

export default UserService

export { UserService, AuthenticationError }

我们实现了具有3种方法的UserService

  • login - 准备请求并通过API服务从API获取令牌
  • logout - 从浏览器存储中清除用户资料
  • refresh token - 从API服务获取刷新令牌

如果您注意到了,您会发现那里有一个神秘的401拦截器逻辑-我们稍后将解决。

我应该将其放在Vuex Store 或 Component中吗?

将尽可能多的逻辑放入Vuex存储中似乎是一个好习惯。首先,这很好,因为您可以在不同的组件中重用状态和业务逻辑。

例如,假设允许用户在应用的多个位置登录或注册,比如通过在线商店结帐时(如果是在线商店)登录或注册。您可能会对该UI元素使用其他Vue组件。通过将状态和逻辑放置在Vuex存储中,您将能够重用状态和逻辑,并只需在Component中编写一些简短的import语句,如下所示:

<script>
import { mapGetters, mapActions } from "vuex";

export default {
  name: "login",

  data() {
    return {
      email: "",
      password: "",
    };
  },

  computed: {
      ...mapGetters('auth', [
          'authenticating',
          'authenticationError',
          'authenticationErrorCode'
      ])
  },

  methods: {
      ...mapActions('auth', [
          'login'
      ]),

      handleSubmit() {
          // 进行email 和 password 校验
          if (this.email != '' && this.password != '') {
            this.login({email: this.email, password: this.password})
            this.password = ""
          }
      }
  }
};
</script>

在Vue组件中,您将从Vuex Store导入逻辑,并将状态或获取方法映射到您的计算属性,并将操作映射到您的方法。您可以在此处阅读有关映射的更多信息。

在Vuex store auth.module.js代码中使用user.service.js,如下所示:

import { UserService, AuthenticationError } from '../services/user.service'
import { TokenService } from '../services/storage.service'
import router from '../router'

const state =  {
    authenticating: false,
    accessToken: TokenService.getToken(),
    authenticationErrorCode: 0,
    authenticationError: ''
}

const getters = {
    loggedIn: (state) => {
        return state.accessToken ? true : false
    },

    authenticationErrorCode: (state) => {
        return state.authenticationErrorCode
    },

    authenticationError: (state) => {
        return state.authenticationError
    },

    authenticating: (state) => {
        return state.authenticating
    }
}

const actions = {
    async login({ commit }, {email, password}) {
        commit('loginRequest');

        try {
            const token = await UserService.login(email, password);
            commit('loginSuccess', token)

            // 重定向用户到之前尝试访问的页面,或者首页
            router.push(router.history.current.query.redirect || '/');

            return true
        } catch (e) {
            if (e instanceof AuthenticationError) {
                commit('loginError', {errorCode: e.errorCode, errorMessage: e.message})
            }

            return false
        }
    },

    logout({ commit }) {
        UserService.logout()
        commit('logoutSuccess')
        router.push('/login')
    }
}

const mutations = {
    loginRequest(state) {
        state.authenticating = true;
        state.authenticationError = ''
        state.authenticationErrorCode = 0
    },

    loginSuccess(state, accessToken) {
        state.accessToken = accessToken
        state.authenticating = false;
    },

    loginError(state, {errorCode, errorMessage}) {
        state.authenticating = false
        state.authenticationErrorCode = errorCode
        state.authenticationError = errorMessage
    },

    logoutSuccess(state) {
        state.accessToken = ''
    }
}

export const auth = {
    namespaced: true,
    state,
    getters,
    actions,
    mutations
}

这几乎涵盖了设置项目所需的一切,希望可以帮助您保持项目的干净和可维护。

现在,从API提取更多数据应该很容易-只需在服务内部创建一个新的<something> .service.js,编写辅助方法并通过我们制作的ApiService访问API。要显示此数据,创建一个Vuex Store, 并使用state存储API响应—通过mapState和mapActions在组件中使用它。这样,如果您需要在其他组件中显示或操作相同的数据,将来便可以重用逻辑。

补充:如何刷新过期的访问令牌?

关于身份验证,要处理令牌刷新或401错误(token失效)比较困难,因此被许多教程所忽略。在某些情况下,最好是在发生401错误时简单地注销用户,但是让我们看看如何在不中断用户体验的情况下刷新访问令牌。这是上面提到的代码示例中的401拦截器。

在我们的ApiService中,我们将添加以下代码来安装Axios响应拦截器。

...

import { store } from '../store'

const ApiService = {

    // 保存401拦截器,之后可以用来注销
    _401interceptor: null,

    ...

    mount401Interceptor() {
        this._401interceptor = axios.interceptors.response.use(
            (response) => {
                return response
            },
            async (error) => {
                if (error.request.status == 401) {
                    if (error.config.url.includes('/o/token/')) {
                        // 刷新令牌失败,用户登出
                        store.dispatch('auth/logout')
                        throw error
                    } else {
                        // 刷新token令牌
                        try{
                            await store.dispatch('auth/refreshToken')
                            // 重新尝试发起请求
                            return this.customRequest({
                                method: error.config.method,
                                url: error.config.url,
                                data: error.config.data
                            })
                        } catch (e) {
                            // 刷新失败 - 拒绝请求,抛出异常
                            throw error
                        }
                    }
                }

                // 非401错误,直接抛出错误
                throw error
            }
        )
    },

    unmount401Interceptor() {
        // 注销401拦截器
        axios.interceptors.response.eject(this._401interceptor)
    }
}

上面的代码要做的是拦截每个API响应,并检查响应的状态是否为401。如果是,则我们正在检查401是否在令牌刷新调用本身上发生(我们不想陷入循环中) 永久刷新令牌!)。然后,代码将刷新令牌并重试失败的请求,并将响应返回给调用方。

我们正在向此处的Vuex Store发送呼叫,以执行令牌刷新。我们需要添加到auth.module.js中的代码是:

const state =  {
    ...

    refreshTokenPromise: null  // 保存刷新token的promise
}


const actions = {
  
    ...
  
    refreshToken({ commit, state }) {
        // 如果是第一次调用,发起请求
        // 如果不是,返回保存的这个refreshTokenPromise,不再发起请求
        if(!state.refreshTokenPromise) {
            const p = UserService.refreshToken()
            commit('refreshTokenPromise', p)

            // 等待UserService.refreshToken()这个promise执行完。如果成功,就设置token,清除refreshTokenPromise。
            // 如果失败,也清除refreshTokenPromise
            p.then(
                response => {
                    commit('refreshTokenPromise', null)
                    commit('loginSuccess', response)
                },
                error => {
                    commit('refreshTokenPromise', null)
                }
            )
        }

        return state.refreshTokenPromise
    }
}

const mutations = {
    
    ...

    refreshTokenPromise(state, promise) {
        state.refreshTokenPromise = promise
    }
}

您的应用可能会执行几个API请求,以获取需要显示的数据。如果访问令牌到期,所有请求将失败,并因此触发401拦截器中的令牌刷新。从长远来看,这将刷新每个请求的令牌,这样不太好。

有一些解决方案可以在401发生时将请求排入队列并在队列中处理它们,但是至少对于我来说,上面的代码提供了一种更为优雅的解决方案。通过保存刷新令牌promise,并向每个刷新令牌请求返回相同的promise我们可以确保令牌仅刷新一次。

您还需要在设置请求header之后立即在main.js中安装401拦截器。

PS:您可以简单地检查页面加载的到期时间,然后也刷新令牌,但这不适用于用户根本不刷新页面的长期会话。

欢迎访问http://zhaima.tech,阅读更多文章

本文分享自微信公众号 - 前端知否(qianduanzhifou),作者:QETHAN

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Vue.js render函数那些事儿

    大多时候,我会使用template, vue单文件去渲染组件。虽然知道Vue中有个render函数,但却很少在项目中去主动使用它。使用最多的地方是在使用一些UI...

    前端知否
  • JavaScript中如何反转数组

    如果您需要反转数组元素的顺序,那么可以使用数组方法reverse()⏪,如下所示:

    前端知否
  • Vue 2.6尝鲜

    在这篇文章中,将会介绍新版本的新特性, 比如 slots的新语法, Vue.observable()等等

    前端知否
  • ffmpeg+sdl播放类

    前段时间一直捣鼓ffmpeg,觉得还是VLC比较亲切,虽然我现在都不知道VLC怎么用了。 除了雷神的博客,主要参考的还是这个博客:http://blog.yun...

    _gongluck
  • 网站pjax后统计浏览量极少问题

    这不最近刚装上了这个博客,博客的主题是 handsome, 然后最近我发现百度统计有点不正常,主动提交收录也是抽风。

    乔千
  • 互联网MySQL数据库应用潜规则

    程序你好
  • Flask前后端分离实践:Todo App(3)

    如果你们是看了Miguel的狗书,或是李辉大大的狼书,一定知道我们在提交表单时,常常会附带上一个隐藏的csrf值,用来防止CSRF攻击。关于CSRF是什么这里就...

    岂不美哉Frost
  • js操作DOM在父元素中的结尾添加子节点注意

    所以js是不能直接传入字符串的,但是jquery的append可以直接传入html字符串。

    蓓蕾心晴
  • AMD的规范演化

    对于web项目来说,打交道的不仅仅有后台,前台页面也是少不了的,而前台的页面js也常常是我们后台程序员必须要使用的语言, 今天说下项目中的js的组织方式。

    付威
  • vn.py2-行情记录的使用

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    钱塘小甲子

扫码关注云+社区

领取腾讯云代金券