Android上使用retrofit+okhttp时token失效的处理方案

96
镜花水月一梦不觉
0.1 2016.02.18 18:22* 字数 762

提前声明,以下提到的方案并没有去验证过可行性,只是记录一下,未来需要用到的时候,在仔细验证一下。

一般情况下,各个公司的移动端关于登录令牌(token)的设定都各不相同。

可先参考这个链接:https://www.zhihu.com/question/30267006

了解一下,本文大概想说什么。

有些公司服务端是按照oauth设计,比较标准规范,但是有些公司有自己的特定业务,未完全按照oauth来设计。基于本公司的业务逻辑,考虑了一下登录的逻辑以及token的设计。

思路如下:

token即验证令牌,每次请求都带上,refreshToken用来刷新token的,每次请求可以不带上,但是要放在移动端保存。

1.通过username,password获取token和refreshToken

2.token的有效期为2小时,refreshToken的有效期为15天

3.如果服务器端判断token过期,而refreshToken未过期,就返回错误码给客户端,则客户端通过一个特定的接口传入refreshToken参数获取新的token和refreshToken

4.如果连续15天未使用app或者用户修改了密码,则表示refreshToken过期了,则跳到登录界面,重新登录获取token和refreshToken

基于上面的思路,如果服务端走rest风格,移动端(Android)采用retrofit(v2.0+)+okhttp(v2.7.0+)网络请求框架。那么当token过期了,Android端应该如何处理呢?

第一种方案

通过okhttp提供的Authenticator接口,相关资料点击这里 ,但是查看okhttp的源码会发现,只有返回HTTP的状态码为401时,才会使用Authenticator接口,如果服务端设计规范,可以尝试如下方法。

实现Authenticator接口

public class TokenAuthenticator implements Authenticator {

    @Override
    public Request authenticate(Proxy proxy, Response response) throws IOException {
        
        //取出本地的refreshToken
        String refreshToken = "sssgr122222222";

        // 通过一个特定的接口获取新的token,此处要用到同步的retrofit请求
        ApiService service = ServiceManager.getService(ApiService.class);
        Call<String> call = service.refreshToken(refreshToken);
        
        //要用retrofit的同步方式
        String newToken = call.execute().body();

        return response.request().newBuilder()
                .header("token", newToken)
                .build();
    }

    @Override
    public Request authenticateProxy(Proxy proxy, Response response) throws IOException {
        return null;
    }
}

然后给添加给OkHttpClient

OkHttpClient client = new OkHttpClient();
client.setAuthenticator(new TokenAuthenticator());
Retrofit retrofit = new Retrofit.Builder()
                .baseUrl(BASEURL)
                .addConverterFactory(GsonConverterFactory.create(gson))
                .addCallAdapterFactory(RxJavaCallAdapterFactory.create())
                .client(client)
                .build();

第一种方案就这样了。

但是,万事不会尽如人意,如果服务端在token过期的时候,不给返回401的HTTP状态码,而是返回如下类型的数据,叫你根据code判断。

{
    "data":"[{"userId":"6b2bb89b68ef4b10988a7c3d089c70cf","userName":"leo","age":"20"},
             {"userId":"a46c3b3b847743649f201e232b5a544d","userName":"李四","age":"30"}]",
    "success":true,
    "msg":"message success"
    "code":401
}

这里要清楚HTTP状态码是指200,404,401这些,而上面的数据中的code是自定义的。如果在token过期时,服务端返回的是如上类型的数据,那么第一种方案就行不通。

第二种方案

通过okhttp的拦截器,okhttp 2.2.0 以后提供了拦截器的功能,相关介绍点击这里

public class TokenInterceptor implements Interceptor {

    private static final Charset UTF8 = Charset.forName("UTF-8");

    @Override
    public Response intercept(Chain chain) throws IOException {
        Request request = chain.request();

        // try the request
        Response originalResponse = chain.proceed(request);

        /**通过如下的办法曲线取到请求完成的数据
         *
         * 原本想通过  originalResponse.body().string()
         * 去取到请求完成的数据,但是一直报错,不知道是okhttp的bug还是操作不当
         *
         * 然后去看了okhttp的源码,找到了这个曲线方法,取到请求完成的数据后,根据特定的判断条件去判断token过期
         */
        ResponseBody responseBody = originalResponse.body();
        BufferedSource source = responseBody.source();
        source.request(Long.MAX_VALUE); // Buffer the entire body.
        Buffer buffer = source.buffer();
        Charset charset = UTF8;
        MediaType contentType = responseBody.contentType();
        if (contentType != null) {
            charset = contentType.charset(UTF8);
        }

        String bodyString = buffer.clone().readString(charset);

        LogUtil.debug("body---------->" + bodyString);

        /***************************************/

        if (response shows expired token){//根据和服务端的约定判断token过期

            //取出本地的refreshToken
            String refreshToken = "sssgr122222222";

            // 通过一个特定的接口获取新的token,此处要用到同步的retrofit请求
            ApiService service = ServiceManager.getService(ApiService.class);
            Call<String> call = service.refreshToken(refreshToken);

            //要用retrofit的同步方式
            String newToken = call.execute().body();


            // create a new request and modify it accordingly using the new token
            Request newRequest = request.newBuilder().header("token", newToken)
                    .build();

            // retry the request

            originalResponse.body().close();
            return chain.proceed(newRequest);
        }

        // otherwise just pass the original response on
        return originalResponse;
    }
}

然后给okhttp设置拦截器

OkHttpClient client = new OkHttpClient();
client.interceptors().add(new TokenInterceptor());
Retrofit retrofit = new Retrofit.Builder()
        .baseUrl(BASEURL)
        .addConverterFactory(GsonConverterFactory.create(gson))
        .addCallAdapterFactory(RxJavaCallAdapterFactory.create())
        .client(getOkHttpClient())
        .build();

第二种方案的思路是通过拦截返回的数据,判断token是否过期,如果过期则进行一次刷新token的操作。

上面2种方案都没有进行实际验证过,希望以后有机会能验证。

完。。。

Android
Web note ad 1