0

我不想在每个查询中检查我的 JWT 令牌是否已过期,我只想在应用程序第一次初始化时检查它main,然后每 55 分钟自动刷新一次。

这是我在 Widget 树顶部调用的刷新函数;

 void main() async {
    await refreshToken()
 };

这是 refreshToken 代码;

  Future<String?> refreshToken() async {

  String? refreshToken =  await getCryptRefresh(); //gets refresh token from an encrypted box
      final http.Response response = 
      await http.post(Uri.parse('http://example.com/refresh'),
         headers: <String, String>{'Content-Type': 'application/json; charset=UTF-8'},
         body: jsonEncode(<String?, dynamic>{
        'email': currentemail, 
        'id': currentuserid,
        'refreshToken': refreshToken
        }),
      );

    if (response.body.contains('token')) {
       Map<String, dynamic> refreshMap = json.decode(response.body);
         String token = refreshMap['token'];
           putCryptJWT(token); // stores new token in encrypted Hive box
               print("token renewed = " + token);
               
                 Timer(Duration(minutes: 55), () {
                     refreshToken();
                 });
          
               return token;
    } else {
            String noresponse = 'responsebody doesnt contain token';
                print(noresponse);
    }
}

Android Studio 首先给了我一个 null 错误,下面有一条红线,refreshToken()并建议了一个 nullcheck !。但是一旦我这样做了,我就给了我这个错误;

The expression doesn't evaluate to a function, so it can't be invoked.

它建议我删除 getter 调用中的括号。所以我把括号和 nullcheck 都删除了refreshToken

但它并没有像我希望的那样每 55 分钟运行一次。

我宁愿不检查每个查询的到期时间。我的 JWTToken 和它的 RefreshToken 都存储在一个加密的 Hive 框中。因此检查每个查询似乎有点密集。

4

3 回答 3

1

在某些情况下,您无法从后端获得响应,这就是我的情况。我在应用程序中添加了计数器,因为我开始获取令牌并继续计数。你的方法是回复我在它不精确之前测试过的 CPU 时钟,有些设备的计数可能更快,有些甚至更慢。我的方式将使用现在的日期时间,并使用我们在开始时每 15 秒保存的时间戳检查不同的日期时间,所以它仍然不完全准确,但至少错误不应超过 15 秒

DateTime _timeoutAt;

start() {
   _timeoutAt = DateTime.now().add(Duration(minutes: 55);
   Timer _timerCheckIsTimeout = Timer.periodic(Duration(seconds: 15), (timer) {
   final isTimeout = DateTime.now().isAfter(_timeoutAt)
   if (isTimeout) {
      //Call back from here
      await refreshToken();
      timer.cancel();
   }
}

我知道这不是最佳实践,但人们有不同的条件,他们无法提出最佳实践。如果您可以控制后端响应它,请使用上面的示例。

于 2021-07-07T11:54:29.177 回答
1

我不建议这样做。你正在为自己创造很多工作。更好的方法是拦截您的请求的响应。检查响应代码是否为 401(表示未经授权),我猜这就是您的后端将返回的内容。然后刷新令牌,再次触发原始请求。这是一种更加无缝的工作方式,因此没有不必要的令牌过期检查,并且用户体验仍然是无缝的。您可以使用Dio包轻松完成此操作。你可以做这样的事情。

var _http;
void initMethod(){
_http = Dio();
//set some headers
_http.options.contentType = "application/json";
_http.options.headers['Content-Type'] = "application/json";
//Now add interceptors for both request and response to add a token on outgoing request and to handle refresh on failed response.
_http.interceptors
        .add(InterceptorsWrapper(onRequest: (RequestOptions options) async {
      return await _addAuthenticationToken(options);
    }, onResponse: (Response response) async {
      if (response.statusCode == 401) return await refreshToken(response);
return response;
    }));
}

Future<Response> refreshtoken(Response response){
//Get your new token here
//Once you have the token, retry the original failed request. (After you set the token where ever you store it etc)
return await _retry(response);
}
Future<RequestOptions> _addAuthenticationToken(RequestOptions options) async {
    
    if (tokenPair != null)
      options.headers['Authorization'] =
          "Bearer " + "yout token goes here";
    return options;
  }

Future<Response<dynamic>> _retry(RequestOptions requestOptions) async {
    final options = new Options(
      method: requestOptions.method,
      headers: requestOptions.headers,
    );
    return await this._http.request<dynamic>(requestOptions.path,
        data: requestOptions.data,
        queryParameters: requestOptions.queryParameters,
        options: options);
  }

您可能需要进行试验以检查是否获得了所需的结果,但这应该可以解决问题

于 2021-07-07T10:25:11.433 回答
0

我不知道这是否比使用 Dio 更可取,但我只是对所有 HTTP 发布请求都这样做了;

else if (response.body.contains('TokenExpiredError')) {
     await refreshToken();
       return downloadMainJSON(
        );

它似乎运作良好。

于 2021-07-07T12:31:47.630 回答