Dio项目中刷新令牌机制的最佳实践

概述

在使用Dio进行网络请求时，处理401未授权错误并实现令牌刷新机制是保证应用安全性的重要环节。本文将通过分析一个典型问题案例，深入讲解如何在Dio中正确实现令牌刷新功能。

问题背景

开发者在实现Dio拦截器时遇到了令牌刷新API无响应的问题。核心代码中，当收到401错误时尝试使用刷新令牌获取新的访问令牌，但发现刷新令牌的API调用没有返回预期的响应数据。

关键问题分析

1. 拦截器循环调用：原代码使用同一个Dio实例进行令牌刷新请求，这会导致拦截器递归调用，形成死循环。
2. 响应处理不完整：刷新令牌后的新令牌没有正确应用到后续请求中。
3. 并发控制不足：多个并行请求同时触发令牌刷新时缺乏有效控制。

解决方案

1. 使用独立Dio实例

必须创建一个不包含拦截器的独立Dio实例专门用于刷新令牌请求，避免递归调用问题。

final Dio _refreshTokenDio = Dio()
  ..options = _dio.options
  ..interceptors.clear();

2. 完善令牌刷新逻辑

在拦截器中实现完整的令牌刷新流程：

@override
Future onError(DioException err, ErrorInterceptorHandler handler) async {
  if (err.response?.statusCode == 401) {
    if (!_isRefreshing) {
      _isRefreshing = true;
      try {
        final newToken = await _refreshToken();
        if (newToken != null) {
          // 更新请求头并重试
          err.requestOptions.headers['Authorization'] = 'Bearer $newToken';
          final response = await _dio.fetch(err.requestOptions);
          return handler.resolve(response);
        }
      } finally {
        _isRefreshing = false;
      }
    } else {
      // 等待正在进行的刷新完成
      await _refreshCompleter?.future;
      final response = await _dio.fetch(err.requestOptions);
      return handler.resolve(response);
    }
  }
  return handler.next(err);
}

3. 并发控制机制

使用Completer和标志位控制并发刷新请求：

bool _isRefreshing = false;
Completer<void>? _refreshCompleter;

Future<String?> _refreshToken() async {
  try {
    final refreshToken = await _getRefreshToken();
    final response = await _refreshTokenDio.post(
      '/refresh-token',
      data: {'refreshToken': refreshToken},
    );
    
    if (response.statusCode == 200) {
      final newToken = response.data['token'];
      await _saveNewToken(newToken);
      _refreshCompleter?.complete();
      return newToken;
    }
  } catch (e) {
    _refreshCompleter?.completeError(e);
    _logoutUser();
    return null;
  }
}

最佳实践建议

1. 令牌存储安全：使用flutter_secure_storage等安全存储方案保存令牌
2. 错误处理：考虑令牌失效时的用户重定向逻辑
3. 日志记录：添加详细的调试日志帮助排查问题
4. 性能优化：实现令牌预刷新机制，避免用户等待
5. 测试覆盖：编写单元测试验证各种令牌失效场景

总结

实现健壮的令牌刷新机制需要考虑多个方面：避免递归调用、正确处理并发请求、完善错误处理等。通过创建独立的Dio实例、使用Completer控制并发以及实现完整的令牌更新流程，可以构建出稳定可靠的认证系统。

在实际项目中，还需要结合具体业务需求进行适当调整，例如添加令牌黑名单处理、支持多设备登录等高级功能。