Как должен вести себя frontend при истечении срока действия access token?

Question

При истечении access token frontend должен попытаться обновить его с помощью refresh token. Пользователь не должен замечать этот процесс. Если обновление прошло успешно, запрос повторяется. Если нет — пользователь разлогинивается. Такой сценарий обеспечивает плавный пользовательский опыт.

YeaHub · Accepted Answer

Access token имеет короткий срок жизни, поэтому frontend должен быть готов к его истечению в любой момент.Типичное поведение frontendКогда access token истёк:Backend возвращает ошибкуFrontend запускает процесс обновления токенаПолучает новый access tokenПовторяет исходный запросЧто важно учестьПользователь не должен видеть ошибкуПроцесс должен быть автоматическимПовтор запроса должен быть прозрачнымЕсли refresh token невалиденВ этом случае:обновление access token невозможносессия считается завершённойfrontend очищает состояние авторизациипользователь перенаправляется на логинПрактический аспектFrontend обычно:хранит флаг обновления токенаблокирует параллельные refresh-запросыизбегает бесконечных циклов обновленияВывод:Корректная обработка истечения access token — ключ к хорошему UX и стабильной авторизации в SPA.