前后端分离项目——后端如何使用Token

原创 已于 2024-12-18 11:13:29 修改 · 806 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #后端 #http

于 2024-10-13 23:14:41 首次发布

定义

token的意思是“令牌”,在代码中本质上是一种字符串,是用户身份的验证方式。

使用方式

  1. 在登陆时,服务端接收到客户端发来的登录信息(账号密码),在数据库中校验成功后,生成一个token,并将其响应给客户端。每个token对应一个用户。
  2. 客户端接收到token后,将其存储起来,之后每次调取后端接口时,都要在请求头中加上token。
  3. 服务端在后续的接口中,可以获取到请求头中的token,进而获取到token中附带的用户基本信息。

代码实现

1. 生成Token

在登录接口中,我们核对用户账号密码正确后,即可生成该用户的token。

// 生成token的密钥
var JwtKey = []byte("hahahahha")	// 小项目密钥值随便定义

// 存放关于token的基本信息
type Claims struct {
	User gorm_model.User	// 附带的该用户的信息
	jwt.StandardClaims
}

// 生成token
func ReleaseToken(user gorm_model.User) (tokenString string,err error) {
	expire := time.Now().Add(7 * 24 * time.Hour)	
	claims := &Claims{
		User: user,	// 用户个人信息
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: expire.Unix(),    //token的有效时长
			IssuedAt: time.Now().Unix(), //token的创建时间
			Issuer: "xunxun",   //作者
			Subject: "user token",	     //主题
		},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	tokenString, err = token.SignedString(jwtKey) //根据前面自定义的Jwt秘钥生成token
	tokenString = "Bearer " + tokenString
	if err != nil {
		return "", err
	}
	return tokenString, nil
}

2. 解析Token

在生成完token并完成登录之后,后续的业务中,我们如何通过token获取到用户信息呢?我们先获取到请求头中的token,将其进行解析,解析之后就能取到其包含的用户信息。信息就包含在Claims结构体对象中。

// 解析token
func ParseToken(tokenString string) (*jwt.Token, *Claims, error) {
	claims := &Claims{}
	token,err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
		return jwtKey, nil
	})
	return token, claims, err
}

3.定义token中间件

token中间件用于判断token是否有效,并将用户信息注入到gin.Context中。这一步是必须要的,是项目安全性的保证。

// AuthMiddleware 中间件检验token是否合法
func AuthMiddleware() gin.HandlerFunc {
	return func(c *gin.Context) {
		// 获取请求头中的token
		tokenString := c.GetHeader("token")
		//验证token格式,不为空,开头为Bearer
		if tokenString == "" || !strings.HasPrefix(tokenString, "Bearer ") {
			response.ResponseErrorWithMsg(c, 400, "token不合法")
			c.Abort()
			return
		}
		//验证通过,提取有效部分(除去Bearer)
		tokenString = tokenString[7:] //截取字符
		//解析token
		token, _, err := ParseToken(tokenString)
		//解析失败||解析后的token无效
		if err != nil || !token.Valid {
			response.ResponseErrorWithMsg(c, 400, "token解析失败")
			c.Abort()
			return
		}
		c.Set("claim", token.Claims)
		c.Next()
	}
}

4. 给需要用到token的接口加上该token中间件

在这里插入图片描述

5. 在接口中获取到token附带的用户信息

	tokenString := c.GetHeader("token")	// 获取到请求头中的token
	tokenString = tokenString[7:]	
	token, _, _ := token.ParseToken(tokenString) // 解析token
	user := token.Claims.(*models.Claims).User	// 获取到token中附带的用户信息
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
c#生成token访问的接口_前后端分离之接口登陆权限token
weixin_36440941的博客
12-24 2548
随着业务的需求普通的springmvc+jsp已经不能满足我们的系统了,会逐渐把后台和前端展示分离开来,下面我们就来把普通的springmvc+jsp分为 springmvc只提供rest接口,前端用ajax请求接口渲染到html中。后台提供接口是一个tomcat服务器前台访问数据是nginx访问rest接口但是有一个问题 ,发现没有。就是两个是不同的域名,所以存在跨域,下面我会把一些关键的代码贴...
简单前后端分离token验证流程
热门推荐
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
避雷手册:API接口鉴权方式全解析
最新发布
云策量化的博客
07-03 658
上周有个量化老哥找我诉苦,说他的高频策略跑得好好的,突然就被券商API踢下线了。查了半天才发现是鉴权令牌过期没处理好——就这么个小细节,让他一上午少赚了二十多万。这年头做量化,API就是你的交易生命线,但90%的坑都藏在鉴权环节。
若依前后端分离版ruoyi-vue:增加新的登录接口(新用户表),用于小程序或者APP获取token,并使用若依的验证方法,结合腾讯云短信验证码实现手机号+验证码登陆
ytgytg28的博客
11-19 7796
添加新用户表实体类,一定要添加Getter和Setter,之前未添加导致存入Redis后没有用户实体类的信息,查找了好久,主要是我水平有限,可能水平高的人一下就会找到原因了。路径:src/main/java/com/wanuw/common/core/domain/model/LoginUser.java。路径:src/main/java/com/wanuw/framework/config/SecurityConfig.java。根据自己腾讯云实际情况填写,下面只是个样子,*为加密。此时已经添加完成了。
前后端分离下的token机制
qq_42109746的博客
06-01 9729
一、 什么是token ? Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 二、token 的适用场景 登录: 业务请求: Token 过期,刷新 Token: 三、token使用 1.创建:token 的实质其实就是一个...
前后端 token使用
ximingx
04-30 1万+
前后端 token使用
java token 超时_前后端分离——token超时刷新策略
weixin_28689729的博客
02-16 1430
前言记录一下前后端分离下————token超时刷新策略!需求场景昨天发了一篇记录 前后端分离应用——用户信息传递 中介绍了token认证机制,跟几位群友讨论了下,有些同学有这么一个疑惑:token失效了,应该怎么做?强制定向到登录页?其实理论上如果是活跃用户,token失效后,假如用户正在操作表单,此时突然定向到登录页面,那用户体验太差了。实现目标延长token过期时间活跃用户在token过期时...
基于Springboot海产品销管理系统+LW+PPT1.前后端分离项目,前端使用vue框架 2.后端使用Java编程语言的Springboot框架 3.项目中登录模块用到token 4.源码包部署调
03-13
在当今的软件开发领域,前后端分离的开发模式已经成为了一种主流。这种模式通过将前端展示和后端数据处理分离,不仅可以使开发团队更专注于各自的工作,还可以显著提高项目的开发效率和后期的维护便捷性。基于...
前后端分离项目——图书管理系统(上)
weixin_45732235的博客
10-01 6239
基于SpringBoot+Vue+MySQL实现的图书管理系统,该系统实现了登录、书籍种类管理、图书管理、借书管理、还书管理、管理员设置、会员管理等功能。
【毕业设计】前后端分离——解决cookies跨域
user_from_future的博客
11-25 1781
前后端分离——解决cookies跨域
网上书店Vue+SpringBoot前后端分离项目(包含数据库脚本文件).zip
06-02
项目是一个完整的网上书店系统,采用了现代Web开发技术栈——Vue.js作为前端框架,SpringBoot作为后端服务框架,实现了前后端分离的设计模式。这个项目包括了数据库脚本文件,可以快速搭建并运行一个完整的在线...
如何前端存token后端获取token
tanxinji的博客
12-09 9056
在身份验证方面,Token通常用于替代传统的基于会话的身份验证机制,如使用Cookie+Session的方式。使用Token进行身份验证的好处是,服务器不需要在内存中保存用户的会话信息,因为Token本身包含了所有验证所需的信息。在前端,使用浏览器提供的 Web Storage(如LocalStorage或SessionStorage)或者使用HTTP Cookie来存储TokenToken是一种用于身份验证和授权的令牌(Token)机制,在网络通信中广泛使用。注解来接收前端传递的Token值。
实现前后端分离的登陆验证token思路
weixin_45509601的博客
09-11 3882
前后端完全分离的情况下,Vue项目中实现token验证大致思路如下: 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面 5、每次调后端接口,都要在请求头中加token 6、后端判断请求头中有无token
前后端分离登录验证token思路
weixin_46432232的博客
05-18 1063
6、后端判断请求头中有无token,有token,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回401,请求头中没有token也返回401。4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面。3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面。2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token
java前后端分离使用token,前后端分离项目后端是如何处理前端传递的token
weixin_39986435的博客
03-21 1709
前后端分离项目中,在不使用 SpringSecurity、Shiro 安全框架的情况下,后端是如何处理前段传递的 token 的呢?简单说一个场景,在一个非常小的项目中,由于业务逻辑比较简单,也没有啥安全要求,所以决定不采用 SpringSecurity、Shiro 等安全框架,但由于大部分方法都会用到当前的用户信息,所以决定对前端传递的用户token进行一次公共处理。解决思路:采用自定义注解方式...
前后端分离token设计
编程算啥事(公总号)的博客
12-24 1208
前后端分离token设计 1、前端端分离用户认证以后,目前大多数都采用请求头携带 Token 的形式,每次请求都需要验证是否有token一级token是否过期。 2.前端使用axio,使用response拦截器拦截,如果状态码是401,则使用refreshtoken重新请求token,将请求到的token放到localStroage。 3.退出用户 清除所有token,重定向到登录页面。red...
基于spring security实现vue2前后端分离的双token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 4227
网上许多博主,放张图片讲讲双token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
前后端分离开发—用户认证(token
qq_50804645的博客
11-22 5200
用户认证 1.在单体项目中如何实现用户认证? 在单体项目中如何保证受限资源在用户未登录的情况下不允许访问? 单体项目中,视图资源(页面)和接口(控制器)在一台服务器中,用户的多次请求都会基于同一个回话(session) ,因此可以借助session来进行用户认证判断。 当用户登录成功后,将用户信息存放到session, 当用户再次访问受限资源,验证session中是否存在用户信息,可以根据session有无用户信息来判断用户是否登录 。 2.前后端分离开发项目中如何实现用户认证? 基于token
前后端分离后端httphttps
01-19
### 前后端分离架构下后端HTTP升级HTTPS的方法 在前后端分离架构中,将后端服务从HTTP协议迁移到HTTPS涉及多个方面的工作。这不仅提升了通信的安全性,也确保了数据传输过程中的隐私性和完整性。 #### 配置Nginx支持SSL/TLS加密 为了使外部网络能够通过HTTPS访问应用服务器,可以在反向代理层——即Nginx上配置SSL证书来启用HTTPS连接[^2]。具体操作如下: 1. 获取有效的SSL证书文件(通常由受信任的CA颁发) 2. 将这些证书安装至Nginx所在的服务器 3. 修改Nginx配置文件以监听443端口,并设置相应的ssl参数指向私钥和公钥位置 4. 设置重定向规则,强制所有来自80端口(HTTP)的请求都转向443端口(HTTPS) ```nginx server { listen 80; server_name example.com; location / { return 301 https://$host$request_uri; } } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/nginx/ssl/example.crt; ssl_certificate_key /etc/nginx/ssl/example.key; ... } ``` #### 更新应用程序内部链接为HTTPS 除了调整Nginx配置外,还需要检查并更新项目内的静态资源路径以及API接口地址,使其全部采用`https://`开头的形式。对于基于Spring Cloud Gateway构建的服务网关而言,则需特别注意路由定义部分是否已正确指定了目标微服务的新URL方案[^3]。 ```java @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() .route(r -> r.path("/hello") .filters(f -> f.addRequestHeader("Authorization", "Bearer")) .uri("https://httpbin.org")) // 使用 HTTPS URL .build(); } ``` #### 关闭不必要的HTTP功能特性 当完成上述更改之后,建议进一步优化安全性措施。例如,在前后端完全解耦的情况下可以考虑停用CSRF防护机制与Session管理组件,因为此时的身份验证依赖于Token而非传统的Cookie方式传递凭证信息[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值