Dio项目中刷新令牌机制的最佳实践

2025-05-18 13:02:48作者：庞眉杨Will

概述

在使用Dio进行网络请求时，处理401未授权错误并实现令牌刷新机制是保证应用安全性的重要环节。本文将通过分析一个典型问题案例，深入讲解如何在Dio中正确实现令牌刷新功能。

问题背景

开发者在实现Dio拦截器时遇到了令牌刷新API无响应的问题。核心代码中，当收到401错误时尝试使用刷新令牌获取新的访问令牌，但发现刷新令牌的API调用没有返回预期的响应数据。

关键问题分析

拦截器循环调用：原代码使用同一个Dio实例进行令牌刷新请求，这会导致拦截器递归调用，形成死循环。
响应处理不完整：刷新令牌后的新令牌没有正确应用到后续请求中。
并发控制不足：多个并行请求同时触发令牌刷新时缺乏有效控制。

解决方案

1. 使用独立Dio实例

必须创建一个不包含拦截器的独立Dio实例专门用于刷新令牌请求，避免递归调用问题。

final Dio _refreshTokenDio = Dio()
  ..options = _dio.options
  ..interceptors.clear();

2. 完善令牌刷新逻辑

在拦截器中实现完整的令牌刷新流程：

@override
Future onError(DioException err, ErrorInterceptorHandler handler) async {
  if (err.response?.statusCode == 401) {
    if (!_isRefreshing) {
      _isRefreshing = true;
      try {
        final newToken = await _refreshToken();
        if (newToken != null) {
          // 更新请求头并重试
          err.requestOptions.headers['Authorization'] = 'Bearer $newToken';
          final response = await _dio.fetch(err.requestOptions);
          return handler.resolve(response);
        }
      } finally {
        _isRefreshing = false;
      }
    } else {
      // 等待正在进行的刷新完成
      await _refreshCompleter?.future;
      final response = await _dio.fetch(err.requestOptions);
      return handler.resolve(response);
    }
  }
  return handler.next(err);
}

3. 并发控制机制

使用Completer和标志位控制并发刷新请求：

bool _isRefreshing = false;
Completer<void>? _refreshCompleter;

Future<String?> _refreshToken() async {
  try {
    final refreshToken = await _getRefreshToken();
    final response = await _refreshTokenDio.post(
      '/refresh-token',
      data: {'refreshToken': refreshToken},
    );
    
    if (response.statusCode == 200) {
      final newToken = response.data['token'];
      await _saveNewToken(newToken);
      _refreshCompleter?.complete();
      return newToken;
    }
  } catch (e) {
    _refreshCompleter?.completeError(e);
    _logoutUser();
    return null;
  }
}