Início / coding / Perguntas / 79240741
Accepted
padmalcom
Asked: 2024-12-01 09:02:16 +0800 CST

Como lidar com um token de atualização expirado no ktor?

  • 772

Eu uso tokens de portador e de atualização no ktor conforme descrito aqui https://ktor.io/docs/client-bearer-auth.html

O que não é mencionado nos documentos é como o módulo de autenticação ktor se comporta quando uma atualização de token é necessária, mas o token de atualização também está expirado.

Gostaria de enviar o usuário para a página de login quando o token de atualização expirar, mas não sei como

kotlin

2 respostas

  1. Best Answer

    HttpClient.kt

    val client = HttpClient {
    install(Auth) {
        bearer {
            loadTokens {
                BearerTokens(
                    accessToken = getStoredAccessToken(),
                    refreshToken = getStoredRefreshToken()
                )
            }
            refreshTokens {
                try {
                    // Attempt to refresh tokens
                    val newTokens = refreshTokensFromServer(oldTokens)
                    BearerTokens(newTokens.accessToken, newTokens.refreshToken)
                } catch (e: RefreshTokenExpiredException) {
                    // Handle expired refresh token
                    navigateToLogin()
                    null // Return null to indicate authentication failure
                }
            }
        }
    }
}

    Você pode criar um manipulador de exceção personalizado ou usar o sistema de plugins do Ktor para interceptar falhas de autenticação. Quando o token de atualização expirar, acione a navegação para sua página de login por meio do sistema de navegação do seu aplicativo. A chave está retornando nulo no bloco refreshTokens quando a atualização falha, o que fará com que a autenticação falhe e pare novas tentativas de solicitação.

    • 2

  2. Detectar Token de Atualização Expirado:

    O prazo de validade do token de atualização deve ser verificado idealmente no momento da tentativa de usá-lo para gerar um novo token de acesso. Isso pode envolver a verificação da assinatura do token e a verificação do seu carimbo de data/hora de validade. Responda apropriadamente:

    Se o token de atualização for inválido ou expirado, o servidor deve responder com um 401 Unauthorized ou um código/mensagem de erro específico indicando o problema do token. Prompt Re-autenticação:

    Ao receber a resposta de erro, o aplicativo cliente deve solicitar que o usuário faça login novamente. Invalide o Refresh Token:

    Tokens de atualização expirados ou inválidos devem ser invalidados e removidos do banco de dados ou do armazenamento de tokens se você estiver usando um armazenamento persistente.

    Configurar dependências Certifique-se de ter as dependências necessárias em seu build.gradle.kts ou pom.xml para autenticação.

    dependencies {
    implementation("io.ktor:ktor-server-core")
    implementation("io.ktor:ktor-server-auth")
    implementation("io.ktor:ktor-server-sessions")
    implementation("io.ktor:ktor-server-content-negotiation")
    implementation("io.ktor:ktor-serialization-gson")
    implementation("io.ktor:ktor-server-netty")
}

    import io.ktor.server.application.*
import io.ktor.server.response.*
import io.ktor.server.routing.*
import io.ktor.server.sessions.*
import io.ktor.util.*
import java.time.Instant

data class RefreshToken(val token: String, val expiresAt: Long)

class TokenService {
    private val validRefreshTokens = mutableMapOf<String, RefreshToken>()

    // Generates a refresh token with expiration
    fun generateRefreshToken(): RefreshToken {
        val token = generateNonce()
        val expiration = Instant.now().plusSeconds(3600).toEpochMilli() // Expires in 1 hour
        val refreshToken = RefreshToken(token, expiration)
        validRefreshTokens[token] = refreshToken
        return refreshToken
    }

    // Validates the refresh token
    fun validateRefreshToken(token: String): Boolean {
        val refreshToken = validRefreshTokens[token] ?: return false
        return Instant.now().toEpochMilli() < refreshToken.expiresAt
    }

    // Invalidate the refresh token
    fun invalidateRefreshToken(token: String) {
        validRefreshTokens.remove(token)
    }
}

fun Application.module() {
    val tokenService = TokenService()

    install(Sessions) {
        cookie<RefreshToken>("SESSION") {
            cookie.extensions["SameSite"] = "lax"
        }
    }

    routing {
        // Endpoint to refresh the token
        post("/refresh") {
            val refreshToken = call.sessions.get<RefreshToken>()
            if (refreshToken == null || !tokenService.validateRefreshToken(refreshToken.token)) {
                call.respond(
                    status = io.ktor.http.HttpStatusCode.Unauthorized,
                    message = "Invalid or expired refresh token. Please log in again."
                )
                return@post
            }

            // Generate a new access token and return it
            val newAccessToken = generateNonce() // Simulating a new access token
            call.respond(mapOf("accessToken" to newAccessToken))
        }

        // Simulate login to generate refresh token
        post("/login") {
            val refreshToken = tokenService.generateRefreshToken()
            call.sessions.set(refreshToken)
            call.respond(mapOf("refreshToken" to refreshToken.token))
        }

        // Simulate logout
        post("/logout") {
            val refreshToken = call.sessions.get<RefreshToken>()
            if (refreshToken != null) {
                tokenService.invalidateRefreshToken(refreshToken.token)
                call.sessions.clear<RefreshToken>()
            }
            call.respond(mapOf("message" to "Logged out"))
        }
    }
}

    • 0

relate perguntas