1. 理解API认证与Token的作用
在现代web应用中,用户登录后通常会获得一个认证令牌(token)。这个token是服务器验证用户身份的凭证,每次需要访问受保护资源时,客户端都需要将此token发送给服务器。服务器通过验证token的有效性来判断用户是否有权限访问。
对于前端应用而言,关键在于如何安全地存储这个Token,并在需要时方便地取出并附加到HTTP请求中。JavaScript提供了几种客户端存储机制,其中sessionStorage是管理会话级Token的常用选择。
2. 使用sessionStorage存储Token
sessionStorage提供了一种在浏览器会话期间(即浏览器窗口或标签页关闭前)存储键值对的方法。它与localStorage类似,但数据仅在当前会话中有效,关闭标签页或浏览器后数据即被清除,这使其非常适合存储用户登录后获得的临时认证Token。
当用户成功登录并接收到服务器返回的Token时,我们可以使用sessionStorage.setItem()方法将其存储起来。
假设登录API返回的数据结构如下:
立即学习“Java免费学习笔记(深入)”;
{
"success": true,
"message": "Login successful",
"data": [
{
"merchant_code": "000004",
"token": "4d9519909d99b3d451abeff1512b540e3319124124f"
}
]
}在JavaScript的fetch请求成功回调中,可以这样存储Token:
fetch("http://127.0.0.1:8000/api/login", {
method: "POST",
headers: {
"Content-Type": "application/json"
},
body: JSON.stringify(payload)
})
.then((res) => res.json())
.then((response) => {
if (response.message === "Login successful" && response.data && response.data.length > 0) {
// 登录成功,从响应数据中提取token和merchant_code
const token = response.data[0].token;
const merchantCode = response.data[0].merchant_code;
// 使用sessionStorage存储Token和商户码
sessionStorage.setItem("token", token);
sessionStorage.setItem("merchant_code", merchantCode);
console.log('登录成功,Token已存储。');
// 可以重定向到用户主页或其他操作
} else {
Swal.fire({
icon: 'error',
title: '错误',
text: response.message || '登录失败,请重试',
confirmButtonColor: 'red',
});
}
console.log(response);
})
.catch((e) => {
Swal.fire({
icon: 'error',
title: '错误',
text: '服务器连接失败,请稍后重试!',
confirmButtonColor: 'red',
});
});说明:
- 我们首先检查response.message是否为“Login successful”,并且response.data是否存在且非空,以确保数据结构符合预期。
- sessionStorage.setItem("token", token)将Token存储在名为“token”的键下。
- sessionStorage.setItem("merchant_code", merchantCode)同样存储了商户码,方便后续使用。
3. 在后续API请求中使用Token
存储Token的目的是为了在访问受保护的API端点时能够进行身份验证。通常,Token会通过HTTP请求头中的Authorization字段发送。
在发起需要认证的API请求之前,首先从sessionStorage中获取存储的Token,然后将其添加到请求的headers中。
// 假设需要获取当前登录用户的数据
function fetchUserData() {
const token = sessionStorage.getItem("token"); // 获取存储的Token
if (token) {
// 用户已登录,携带Token发起请求
fetch("http://127.0.0.1:8000/api/user/profile", {
method: "GET",
headers: {
"Content-Type": "application/json",
"Authorization": `Bearer ${token}` // 将Token添加到Authorization头
}
})
.then((res) => {
if (res.status === 401) { // Unauthorized
// Token可能已过期或无效,需要重新登录
console.log("Token无效或已过期,请重新登录。");
// 可以清除Token并重定向到登录页
sessionStorage.removeItem("token");
// window.location.href = '/login';
return Promise.reject('Unauthorized');
}
return res.json();
})
.then((userData) => {
console.log("用户数据:", userData);
// 处理用户数据
})
.catch((e) => {
console.error("获取用户数据失败:", e);
Swal.fire({
icon: 'error',
title: '错误',
text: '获取用户数据失败,请稍后重试!',
confirmButtonColor: 'red',
});
});
} else {
// 用户未登录或Token不存在,提示登录
console.log("用户未登录,请先登录。");
Swal.fire({
icon: 'info',
title: '提示',
text: '您尚未登录,请先登录!',
confirmButtonColor: '#3085d6',
});
// 可以重定向到登录页
// window.location.href = '/login';
}
}
// 在需要时调用此函数
// fetchUserData();说明:
- sessionStorage.getItem("token")用于检索名为“token”的值。
- "Authorization": \Bearer ${token}`是常见的Token携带方式,其中Bearer`是认证方案,后跟一个空格和实际的Token。
- 在发起请求前检查Token是否存在,可以避免不必要的错误请求。
- 处理401 Unauthorized响应非常重要,这意味着Token可能无效或过期,此时应引导用户重新登录。
4. Token的清除与用户登出
当用户选择登出时,或者会话结束时(如关闭浏览器标签页),应清除存储的Token,以确保用户状态被正确注销。
-
清除特定Token: 使用sessionStorage.removeItem("key")可以移除指定键的值。
function logout() { sessionStorage.removeItem("token"); // 移除Token sessionStorage.removeItem("merchant_code"); // 移除商户码 console.log("用户已登出,Token已清除。"); // 重定向到登录页或其他操作 // window.location.href = '/login'; } -
清除所有会话数据: 使用sessionStorage.clear()可以清除当前源(origin)下sessionStorage中的所有数据。
function logoutAllSessionData() { sessionStorage.clear(); console.log("所有会话数据已清除。"); // 重定向到登录页 // window.location.href = '/login'; }通常,在用户主动点击“登出”按钮时,会调用removeItem()来精确清除认证信息。当用户关闭标签页时,sessionStorage会自动清除,无需额外操作。
5. 注意事项与最佳实践
- 安全性: sessionStorage和localStorage都容易受到跨站脚本攻击(XSS)的影响。如果恶意脚本注入到你的页面中,它可以访问并窃取存储在这些位置的Token。对于高度敏感的应用,考虑使用HTTP-only Cookies来存储刷新Token,因为它不能通过JavaScript访问,从而降低XSS风险。然而,对于访问Token,sessionStorage在许多SPA(单页应用)场景中仍是可接受的方案,因为其会话特性限制了Token的生命周期。
- Token过期处理: API Token通常有过期时间。当前端收到401 Unauthorized响应时,这通常表示Token已过期或无效。此时,应用应引导用户重新登录,或者如果使用了刷新Token机制,则尝试使用刷新Token获取新的访问Token。
- 数据结构一致性: 确保前端代码正确解析后端返回的Token数据结构。如果Token位于深层嵌套的对象中,需要正确地访问,例如response.data[0].token。
- 用户体验: 在Token不存在或无效时,及时给出用户友好的提示,并引导用户进行下一步操作(如跳转到登录页)。
总结
通过本教程,我们学习了如何在JavaScript前端应用中有效地管理API认证Token。使用sessionStorage可以方便地在用户会话期间存储和检索Token,并通过在HTTP请求头中添加Authorization: Bearer
