SPA项目经验总结 #11
Comments
|
有一个问题,就是如果用户在浏览器直接输入url改变路由的话,那么前端路由也应该拦截一下token吧?但是前端怎么验证token的合法性呢?因为token是后台产生并返回给前端的,还有一个就是后端验证token是非法的,需要重定向到登陆页面,这个是只能后台返回给前端一个token非法的信息,由前端自己控制跳转吗? |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
SPA项目经验总结
最近选用了 React + React-Router 的技术栈,自然而然走了 SPA 的路线,下面总结下在所谓的 SPA 下的一些技术点的坑。
登录态的维持
现有方案
登录页面发起 Ajax 请求获得用户 token,把 token 存放在 localStorage 里面,然后通过前端路由跳转到用户主页。随后用户相关的请求都会在 http head 里面带上这个 token。服务器端只负责验证每次请求中 token 的合法性(譬如:是否过期)。
遇到的问题
把 token 保存在 localStorage 中主要考虑用户打开浏览器多个 tab 页可以维持登陆态。但是存储在 localStorage 里面的 token 面临如下问题:
针对多账号登录相互覆盖的问题,现有采取的方案是在登录后分别在内存和 localStorage 里面保存一份 token,每次要用到 token 的时候都去对比一下,如果检测到不一样则提示用户关闭当前窗口防止串号。这么做的目的一来防止用户自己被多个账号误导,二来如果关闭了检测到串号的窗口,不影响后登录的那个账号使用(当然如果前一个窗口不关闭也没有问题,js 使用的始终是内存中的 token)。
但是当同一个用户开多个窗口,那么新开的窗口中的 token 第一次获取就只能从 localStorage 里面获取。这时就有 token 被篡改可以跨用户操作的风险。针对这个风险我预想了解决方案(需要用到 session 存储 token):
这种情况下如果登录了第二个账户,第一个窗口(第一个账号)要再进行任何操作,传回的 token 就和 server session 中的 token 不匹配,server 就可以返回状态码让前端把用户登出。
多路由模块共享数据同步问题
如果多路由之间有相关的业务数据,那么为了减少请求,提高用户体验,最好把多路由相关的数据共同抽象到一个地方,譬如 redux 的 store 里面。这样一个路由改了数据,当切换到另一个路由就不需要从后台再拉一遍数据的最新状态。这点对于单人开发没有问题,但是对于多人协作就需要提前设计数据存放结构,约定接口。一边做一边改就容易出现沟通问题,数据架构也不容易统一。
异步任务的状态问题
针对有异步任务的情况就要考虑状态更新的问题。因为页面提交了一个请求修改数据,但是数据被修改的最新状态无法立即体现在当前界面上,那么就会有如下问题:
问题1如果中间态存储在前端,一旦用户刷新页面或者新开页面就转换成问题3了,所以后台一定要做好验证,前端无法严格维持状态。还有一种情况就是后端存储中间态,那么无论是刷新还是新开页面用户都能够看到中间态也会避免提交重复请求,但是这种方案就增加了后端的复杂度,需要根据项目的需求自行决定。
问题2涉及两个方面:一来是接入推送服务增加复杂度的问题,需要酌情考虑。二来是提高用户体验的问题如果最新的状态需要及时通知到用户,那么推送方案就要在技术选型时考虑在内。
多人操作同份数据
这个问题最典型的就是项目管理工具,针对同一个任务两个人同时开着界面,如果一个人认领了,那么另一个人一般情况下是无法知道的,可能会造成“误操作”。这个时候增加推送功能能极大的提高用户体验。
The text was updated successfully, but these errors were encountered: