AWS Amplify 中 Token 过期问题的分析与解决方案

问题背景

在使用 AWS Amplify 进行身份验证时，开发者可能会遇到"Invalid login token. Token expired"的错误提示。这个问题通常发生在应用长时间运行后（约2-3小时），特别是在后台运行的情况下。错误会导致用户会话中断，影响用户体验。

技术细节分析

Token 过期机制

AWS Amplify 使用 Cognito 用户池进行身份验证时，涉及三种主要令牌：

1. 访问令牌 (Access Token)：有效期通常较短（如5分钟），用于授权API请求
2. ID 令牌 (ID Token)：包含用户身份数据，有效期与访问令牌相同
3. 刷新令牌 (Refresh Token)：有效期较长（如1周），用于获取新的访问令牌和ID令牌

问题根源

当应用长时间运行后，访问令牌和ID令牌会过期。此时，Amplify 应自动使用刷新令牌获取新的令牌。但在某些情况下，这一过程可能失败，导致：

1. 令牌刷新失败后未正确处理错误状态
2. 应用仍尝试使用已过期的令牌进行认证
3. 用户被意外登出

解决方案

1. 升级 Amplify 版本

确认问题在 Amplify v6.6.4 中存在，但在 v6.8.0 中已修复。建议升级到最新稳定版：

npm install aws-amplify@latest

2. 实现令牌刷新监听

在应用中实现 Hub 监听器，正确处理令牌刷新事件：

import { Hub } from 'aws-amplify/utils';

Hub.listen('auth', ({ payload }) => {
  switch (payload.event) {
    case 'tokenRefresh':
      console.log('令牌已刷新');
      // 更新应用状态
      break;
    case 'tokenRefresh_failure':
      console.log('令牌刷新失败');
      // 执行登出或重试逻辑
      break;
  }
});

3. 优化会话管理

实现会话管理的单例模式，避免并发请求导致的重复刷新：

let pendingSessionRequest = null;

async function getSession() {
  if (!pendingSessionRequest) {
    pendingSessionRequest = fetchAuthSession()
      .finally(() => {
        pendingSessionRequest = null;
      });
  }
  return pendingSessionRequest;
}

4. 配置合理的令牌有效期

在 Cognito 用户池中设置适当的令牌有效期：

• 访问令牌：5-60分钟（根据安全需求）
• ID 令牌：与访问令牌相同
• 刷新令牌：7-30天

最佳实践

1. 错误处理：对所有认证操作实现全面的错误处理
2. 会话状态同步：确保应用各部分的认证状态同步更新
3. 用户反馈：在令牌刷新时提供适当的用户反馈
4. 自动重试：对临时性错误实现自动重试机制
5. 离线处理：考虑应用离线时的认证状态管理

总结

AWS Amplify 的令牌过期问题主要源于令牌刷新机制的处理不当。通过升级到最新版本、实现正确的错误处理逻辑和优化会话管理，可以有效解决这一问题。开发者应根据应用的具体需求和安全考虑，合理配置令牌有效期，并确保应用能够优雅地处理各种认证状态变化。