利用SessionStorage在JavaScript中管理用户认证令牌

1. 理解API认证与前端令牌存储

在现代web应用中，api认证通常采用基于令牌（token-based）的方式。用户登录成功后，服务器会返回一个认证令牌（如jwt），前端需要将这个令牌存储起来，以便在后续访问需要认证的api时，将其发送给服务器以证明用户身份。

对于前端存储，浏览器提供了多种机制，其中sessionStorage是一个适合存储会话级敏感信息的选项。sessionStorage的特点是：

• 数据仅在当前浏览器标签页或窗口的生命周期内有效。
• 当标签页或窗口关闭时，存储在sessionStorage中的数据会被清除。
• 数据存储在客户端，不随HTTP请求自动发送，需要手动读取并添加到请求中。

2. 存储认证令牌

在用户通过API成功登录后，我们需要解析服务器返回的响应，提取出认证令牌和其他相关信息，并将其存储到sessionStorage中。

假设登录API的响应结构如下：

{
    "success": true,
    "message": "Login successful",
    "data": [
        {
            "merchant_code": "000004",
            "token": "4d9519909d99b3d451abeff1512b540e3319124124f"
        }
    ]
}

以下是集成登录API并存储令牌的JavaScript代码示例：

立即学习“Java免费学习笔记（深入）”；

// 假设 payload 包含了用户的登录凭据
const payload = {
    username: "your_username",
    password: "your_password"
};

fetch("http://127.0.0.1:8000/api/login", {
    method: "POST",
    headers: {
        "Content-Type": "application/json"
    },
    body: JSON.stringify(payload)
})
.then((res) => res.json())
.then((response) => {
    // 检查登录是否成功以及数据是否存在
    if (response.message === "Login successful" && response.data && response.data.length > 0) {
        console.log('登录成功');
        // 使用 sessionStorage.setItem() 存储令牌和商家代码
        sessionStorage.setItem("token", response.data[0].token);
        sessionStorage.setItem("merchant_code", response.data[0].merchant_code);

        // 登录成功后可以进行页面跳转或更新UI
        // window.location.href = '/dashboard';
    } else {
        // 登录失败，显示错误提示
        Swal.fire({
            icon: 'error',
            title: '错误',
            text: '登录失败，请重试',
            confirmButtonColor: 'red',
        });
    }
    console.log(response); // 打印完整的响应以便调试
})
.catch((e) => {
    // 处理网络错误或服务器连接失败
    Swal.fire({
        icon: 'error',
        title: '错误',
        text: '服务器连接失败，请稍后再试！',
        confirmButtonColor: 'red',
    });
});

在上述代码中，sessionStorage.setItem("key", "value") 方法用于将数据以键值对的形式存储到会话存储中。

飞飞网游装备点卡交易 Build 0920

一个可以提供给用户做为网络游戏物品装备交易的平台，可以由用户向网站发出物品交易委托申请，由网站做为中间人保证交易顺利完成，同时又可以做为游戏周边产品及其他商品销售的网上商城，该系统把2大功能紧密结合在一起，让使用该程序的用户能更方便快捷安全的管理一个属于自己的网站用户名：admin密码：8741137

下载

3. 使用认证令牌访问受保护资源

一旦令牌被存储，当需要访问受保护的API端点时，我们就可以从sessionStorage中取出令牌，并将其添加到HTTP请求的头部（通常是Authorization头）中。

/**
 * 检查用户是否登录并获取受保护数据
 */
function fetchProtectedData() {
    // 从 sessionStorage 中获取存储的令牌
    const token = sessionStorage.getItem("token");

    if (token) {
        // 用户已登录，使用令牌发起请求
        fetch("http://127.0.0.1:8000/api/user/profile", { // 示例：一个需要认证的API端点
            method: "GET",
            headers: {
                "Content-Type": "application/json",
                "Authorization": `Bearer ${token}` // 将令牌添加到 Authorization 头
            }
        })
        .then(res => {
            if (!res.ok) {
                // 如果响应状态码不是 2xx，抛出错误
                if (res.status === 401 || res.status === 403) {
                    // 令牌无效或无权限，可能需要重新登录
                    console.error("认证失败或无权限，请重新登录。");
                    // 清除令牌并重定向到登录页
                    sessionStorage.clear();
                    // window.location.href = '/login';
                }
                throw new Error(`HTTP error! Status: ${res.status}`);
            }
            return res.json();
        })
        .then(data => {
            console.log("成功获取受保护数据:", data);
            // 在此处处理获取到的数据，例如更新UI
        })
        .catch(error => {
            console.error("获取受保护数据失败:", error);
            // 处理其他网络或解析错误
        });
    } else {
        // 用户未登录，引导用户进行登录
        console.log("用户未登录，请先登录。");
        // window.location.href = '/login'; // 重定向到登录页面
    }
}

// 示例调用：在页面加载后或某个事件触发时调用此函数
// fetchProtectedData();

sessionStorage.getItem("key") 方法用于从会话存储中检索指定键的值。在Authorization头中，通常令牌前会加上Bearer前缀，这是一种常见的认证方案。

4. 管理用户会话与登出

当用户选择登出时，或会话因其他原因结束时（例如令牌过期），需要清除存储在sessionStorage中的令牌信息，以确保用户状态被正确重置。

• sessionStorage.clear()：清除当前域下sessionStorage中的所有键值对。
• sessionStorage.removeItem("key")：清除sessionStorage中指定键的键值对。

/**
 * 执行用户登出操作
 */
function logout() {
    // 清除所有会话存储数据，适用于彻底清除用户会话信息
    sessionStorage.clear();

    // 或者，如果只想清除特定项，可以使用 removeItem
    // sessionStorage.removeItem("token");
    // sessionStorage.removeItem("merchant_code");

    console.log("用户已登出，会话信息已清除。");
    // 登出后通常会重定向到登录页面或首页
    // window.location.href = '/login';
}

// 示例：为登出按钮添加事件监听器
// document.getElementById('logoutButton').addEventListener('click', logout);

5. 重要注意事项

• sessionStorage与localStorage的选择：
  • sessionStorage：数据仅在当前会话（标签页/窗口）有效，关闭后即清除。适用于存储敏感的、与当前会话强关联的信息，如认证令牌。
  • localStorage：数据永久保存，除非手动清除。不建议用于存储敏感的认证令牌，因为它增加了令牌泄露的风险，且用户关闭浏览器后令牌依然存在，可能导致安全问题。
• 安全性考量：
  • XSS攻击：sessionStorage中的数据容易受到跨站脚本（XSS）攻击的威胁。如果您的网站存在XSS漏洞，恶意脚本可以读取sessionStorage中的令牌。对于高安全要求的应用，建议考虑更安全的令牌存储方式，如HttpOnly Cookie。
  • 令牌有效期：服务器应为认证令牌设置合理的有效期。前端在收到令牌后，也应处理令牌过期的情况，例如在API请求返回401（Unauthorized）状态码时，提示用户重新登录并清除本地存储的旧令牌。
  • 刷新令牌：对于需要长时间保持登录状态的应用，通常会引入刷新令牌（Refresh Token）机制，以安全地获取新的访问令牌，而无需用户频繁重新登录。这通常涉及更复杂的令牌管理策略。
• 错误处理：在进行API调用时，始终要进行充分的错误处理，包括网络连接失败、服务器返回的业务逻辑错误（如登录凭据无效）以及令牌过期或无效等情况。

总结

通过本教程，您应该已经掌握了在JavaScript前端使用sessionStorage来存储、使用和清除API认证令牌的基本方法。sessionStorage提供了一种简单有效的会话级数据管理方案，尤其适用于管理用户登录状态。然而，在实际项目中，尤其是在涉及敏感数据和高安全要求的场景下，务必结合安全性考量，选择最适合的令牌管理策略，并实施全面的错误处理机制。