IT技术 - 如何在浏览器中为 React SPA 保留 Auth0 登录状态 - 吾爱随笔录

如何在浏览器中为 React SPA 保留 Auth0 登录状态

IT技术 reactjs authentication cookies react-router-v4 auth0

2021-05-11 21:24:18

目前，当我创建路由时，我会检查 Auth0 方法 - isAuthenticated() - 以确定是否返回受保护的页面或重定向到登录。但是，此状态仅存在于内存中，并且不会在浏览器刷新时将用户保留在其页面上，我想这样做。

这是一个 React/RR4/React Context 应用程序，我的 Auth0 方法列在 Auth.js（如下）中。

将登录状态存储在 localStorage 中是非常不可取的。如果我将 Auth0 令牌存储在 cookie 中，我不确定如何验证令牌，因为没有设置服务器验证。检查将启用安全数据持久性的正确条件是什么？

ProtectedRoutes.jsx：

   <Route
      exact
      key={route.path}
      path={route.path}
      render={() => (
        // CONDITION TO CHECK
        context.auth.isAuthenticated()
          ? (
            <div>
              <route.component />
            </div>
          ) : <Redirect to="/login" />
        )}
      />

Auth.js（添加供参考）：

import auth0 from 'auth0-js';
import authConfig from './auth0-variables';

class Auth {
  accessToken;
  idToken;
  expiresAt;
  tokenRenewalTimeout;

  auth0 = new auth0.WebAuth({
    domain: authConfig.domain,
    clientID: authConfig.clientId,
    redirectUri: authConfig.callbackUrl,
    responseType: 'token id_token',
    scope: 'openid'
  });

  constructor() {
    this.scheduleRenewal();
    this.login = this.login.bind(this);
    this.logout = this.logout.bind(this);
    this.handleAuthentication = this.handleAuthentication.bind(this);
    this.isAuthenticated = this.isAuthenticated.bind(this);
    this.getAccessToken = this.getAccessToken.bind(this);
    this.getIdToken = this.getIdToken.bind(this);
    this.renewSession = this.renewSession.bind(this);
    this.scheduleRenewal = this.scheduleRenewal.bind(this);
  }

  login() {
    console.log('logging in!');
    this.auth0.authorize();
  }

  handleAuthentication() {
    return new Promise((resolve, reject) => {
      this.auth0.parseHash((err, authResult) => {
        if (err) return reject(err);
        console.log(authResult);
        if (!authResult || !authResult.idToken) {
          return reject(err);
        }
        this.setSession(authResult);
        resolve();
      });
    });
  }

  getAccessToken() {
    return this.accessToken;
  }

  getIdToken() {
    return this.idToken;
  }

  getExpiration() {
    return new Date(this.expiresAt);
  }

  isAuthenticated() {
    let expiresAt = this.expiresAt;
    return new Date().getTime() < expiresAt;
  }

  setSession(authResult) {
    localStorage.setItem('isLoggedIn', 'true');
    let expiresAt = (authResult.expiresIn * 1000) + new Date().getTime();
    this.accessToken = authResult.accessToken;
    this.idToken = authResult.idToken;
    this.expiresAt = expiresAt;
    this.scheduleRenewal();
  }

  renewSession() {
    this.auth0.checkSession({}, (err, authResult) => {
      if (authResult && authResult.accessToken && authResult.idToken) {
        this.setSession(authResult);
      } else if (err) {
        this.logout();
        console.log(`Could not get a new token. (${err.error}: ${err.error_description})`);
      }
    });
  }

  scheduleRenewal() {
    let expiresAt = this.expiresAt;
    const timeout = expiresAt - Date.now();
    if (timeout > 0) {
      this.tokenRenewalTimeout = setTimeout(() => {
        this.renewSession();
      }, timeout);
    }
  }

  logout() {
    this.accessToken = null;
    this.idToken = null;
    this.expiresAt = 0;
    localStorage.removeItem('isLoggedIn');
    clearTimeout(this.tokenRenewalTimeout);
    console.log('logged out!');
  }
}

export default Auth;

1个回答

您可以使用静默身份验证在浏览器刷新时更新令牌。

专门针对您的 React SPA 应用

在您的主要 App 组件中设置一个状态 say tokenRenewedtofalse
你已经有一个renewToken方法，auth.js所以在componentDidMount方法中调用它

componentDidMount() {
   this.auth.renewToken(() => {
      this.setState({tokenRenewed : true});
   })
}

更新renewToken以接受cb如下回调

renewSession(cb) {
    this.auth0.checkSession({}, (err, authResult) => {
      if (authResult && authResult.accessToken && authResult.idToken) {
        this.setSession(authResult);
      } else if (err) {
        this.logout();
        console.log(`Could not get a new token. (${err.error}: ${err.error_description})`);
      }
      if(cb) cb(err, authResult);
    });
  }

除非您通过静默身份验证更新了有效令牌，否则请确保不加载 App 组件，除非tokenRenewed是true

render() {
    if(!this.state.tokenRenewed) return "loading...";
    return (
      // Your App component
    );
}

注意事项：

您可能需要确保Allowed Web Origins在应用程序设置中进行了正确的设置才能使其正常工作
静默身份验证有一些限制，因为它需要在浏览器上启用 3rd 方 cookie，以防 Safari 的 ITP。您应该设置一个自定义域来避免这种情况。请参阅官方 auth0 文档以在此处了解更多信息。
有关如何在此处安全存储令牌的更多详细信息

其它你可能感兴趣的问题

上一篇如何使用 axios get 请求发送正文数据和标头？下一篇Firebase 默认托管域：只有 .firebaseapp.com 有效，但 .web.app 失败