security-3(前后端分离)

最新推荐文章于 2024-09-11 07:51:38 发布
最新推荐文章于 2024-09-11 07:51:38 发布
阅读量70 收藏
点赞数
分类专栏: SpringSecurity 文章标签: wpf 状态模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A0415_1119/article/details/134275019
版权
本文探讨了前后端分离的实现,重点介绍了JWT(Json Web Token)的结构和作用,包括Header、Payload和Signature三部分,并讨论了如何在SpringSecurity中使用JWT进行认证和权限管理。此外,文章还提到了自定义过滤器OncePerRequestFilter的应用以及Vue的自定义指令用于实现细粒度的权限控制。
摘要由CSDN通过智能技术生成

前后端分离

一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。

但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了

SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式的扩展,虽然SpringSecurity也支持采用SpringSession来管理分布式下的用户状态,不过现在分布式的还是无状态的Jwt比较主流。 所以怎么让SpringSecurity变成前后端分离,可以采用Jwt来做认证

什么是jwt

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

官网: JSON Web Token Introduction - jwt.io

    1. jwt的结构

Header

Header 部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。

{

"alg": "HS256",

"typ": "JWT"

}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256 (写成 HS256) ;typ属性表示这个令牌(token)的类型(type), JWT令牌统一写为JWT。

最后,将上面的JSON对象使用Base64URL算法转成字符串。

Payload(荷载)

Payload 部分也是一个JSON对象,==用来存放实际需要传递的数据==。JWT规定了7个官方字段,供选用。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (lssued At):签发时间

jti (JWT ID):编号

除了官方字段,==你还可以在这个部分定义私有字段==,下面就是一个例子。

{

"sub": "1234567890",

"name" : "John Doe",

“userid”:2

"admin": true

}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把==秘密信息==放在这个部分。这个JSON 对象也要使用Base64URL 算法转成字符串。

Signature

Signature部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个==密钥(secret)==。这个密钥只有==服务器才知道==,不能泄露给用户。然后,使用Header里面指定的==签名算法(默认是 HMAC SHA256)==,按照下面的公式产生签名。

HMACSHA256(

base64UrlEncode(header) + ".”"+base64UrlEncode(payload),

secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

项目添加hutool依赖

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.16</version>
        </dependency>

认证成功

实现AuthenticationSuccessHandler接口,当登录成功后,该处理类的方法被调用

package com.example.securitydemo.util;


import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;


import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;


    /**
     * 认证成功
     * @return
     */
    public AuthenticationSuccessHandler getSuccessHandler(){
        return (httpServletRequest, response, authentication) -> {

            User user=(User) authentication.getPrincipal();
            //Collection<GrantedAuthority> authorities = user.getAuthorities();

             List<String> collect = user.getAuthorities().stream().map(grantedAuthority -> grantedAuthority.getAuthority()).collect(Collectors.toList());
            // 生成token
            String username = user.getUsername();
            Map map = new HashMap();
            map.put("username",username);
            map.put("allresource",collect);

            Calendar calendar =Calendar.getInstance();
            calendar.add(Calendar.HOUR,2);
            // 设置过期的时间
            Date expireTime = calendar.getTime();
            System.out.println("过期的时间是:"+expireTime);
            // 设置生效的时间
            Date time = calendar.getTime();
            System.out.println("生效的时间是:"+time);
            map.put(JWTPayload.EXPIRES_AT,expireTime);// 过期的时间
            map.put(JWTPayload.ISSUED_AT,time);// 签发的时间
            map.put(JWTPayload.NOT_BEFORE,time);// 生效的时间
            String token = JWTUtil.createToken(map, "yyl".getBytes());

            Result result = new Result(token);
            printJsonData(response,result);

        };
    }

public void printJsonData(Result result,HttpServletResponse response) throws IOException {
        // 以json的形式 传递除去
        ObjectMapper objectMapper = new ObjectMapper();
        String s = objectMapper.writeValueAsString(result);
        // 响应到前端
        response.setContentType("application/json;charset=utf8");
        PrintWriter writer = response.getWriter();
        writer.write(s);
        writer.flush();
        writer.close();
    }

认证失败

实现AuthenticationFailureHandler接口,当登录失败后,该处理类的方法被调用

package com.example.securitydemo.util;


import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.Authen
最低0.47元/天 解锁文章
AAAA0415
关注
专栏目录
Spring Security -- 前后端分离时的安全处理方案
AS011x的博客
09-03 1476
今天就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,一一哥只能建议你先查阅一下相关资料,本文 只能带你简单了解一下前后端分离的概念,毕竟今天我们是在讲解如何保证安全性的。还有的小伙伴会说,前后端分离有什么了不起,为啥就需要单独处理?它和前后端不分离时有什么不同?那么就让我们带着这些疑问来开始今天的内容吧!我们还是先来了解一下前后端分离这种开发模式吧,看看到底什么是前后端分离
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
SpringCloud-Alibaba+oauth 单点登陆
qq_34907190的博客
10-04 152
分别创建cloud-auth用于授权认证,cloud-comm用于存放公共类,cloud-service用于存放业务,cloud-gateway用于存放网关。总结:搭建授权认证服务器,在oauth配置文件种设置授权模式,访问授权站点得到授权码,通过授权码获得token。第一个参数表示授权的模式是什么,第二个是授权码,第三个是第三方登陆的用户是谁,第四个是把token返回到哪里。然后重新使用密码模式获取token,在授权使用无授权方式进行获取,也可以获取到token。token_type:token的类型。
【Java】若依前后端分离,接口报错403
热门推荐
码婆Doph
12-01 1万+
是由于token的问题。一边有token,一边没token。 解决方案 第一种 在前端的api接口中,加上 headers : { isToken : false } 第二种 // 使用 permitAll() 方法所有人都能访问,包括带上 token 访问 .antMatchers("/admins/**").permitAll() // 使用 anonymous() 所有人都能访问,但是带上 token 访问后会报错 .antMatchers("/admins/**").anonymous()
SpringBoot解决前后端分离跨域问题:状态码403拒绝访问
做技术人 · 产优质博客 · 找好工作
12-30 4048
前后端分离项目因为端口不一致造成状态码403异常,通过Spring Boot来解决此跨域问题
Spring Security的自定义403的方式
京北游戏官方
12-25 8821
有两种方法 1、自定义页面 在继承WebSecurityConfigurerAdapter的配置类中重写的configure方法中,加上下面 //自定义403权限不足的页面 http.exceptionHandling().accessDeniedPage("/page/403.html"); 2、自定义返回值,多用于前后端分离 新建一个类,实现AccessDeniedHandler 接口,并注入到容器中 @Component public class MyAccessDenied implements
Spring Security 前后端分离
Markix的博客
11-14 3361
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
SpringSecurity - 简单前后端分离 - 自定义授权篇
铠の魂博客
10-08 2643
隔了那么久,终于来补坑了,(/▽\)。 我们接着介绍自定义授权是如何做的。环境准备和前面一样,接着认证篇,继续完成我们的授权处理。
SpringSecurity - 简单前后端分离 - 自定义认证篇
铠の魂博客
07-21 1713
终于到了我们关心的第一个问题,认证篇。此篇我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity的认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
权限系统--前后端完全分离
Ysuhang的博客
08-11 3166
前后端完全分离实现权限管理!
springsecurity完成前后端完全分离
z2331198564653的博客
07-31 1136
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
若依框架(RuoYi)系列视频教程 RuoYi-Vue前后端分离版本 118集
06-10
├──10 Spring Security 简介.mp4 18.37M ├──100 主子表代码生成详解.mp4 32.85M ├──101 3.4.0版本更新介绍.mp4 122.82M ├──102 使用undertow容器.mp4 23.32M ├──103 实现优雅关闭应用.mp4 13.40M ├...
springboot-security 前后端分离开发
09-05
本文将详细介绍如何利用 `SpringBoot` 集成 `SpringSecurity` 实现基于JWT(Json Web Token)的认证机制,以适应前后端分离的开发需求。 **一、SpringBoot简介** SpringBoot 是 Spring 框架的一个子项目,旨在简化 ...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
C# WPF中实现图表生成的五种方式
最新发布
zls365365的博客
09-11 552
在现代应用程序中,数据可视化是一个重要的功能,它可以帮助用户更直观地理解数据。在C# WPF(Windows Presentation Foundation)中,有多种方式可以生成图表。以下是五种常见的方法,每种方法都有其独特的优势和局限。1. 使用System.Windows.Shapes命名空间代码示例:<Window x:Class="WpfApp.MainWindow" ...
C# WPF上位机与西门子PLC通信实现实例解析
zls365365的博客
09-07 900
1. 使用第三方库(如S7.Net或Sharp7)代码示例:// 使用S7.Net库与PLC建立连接 var plc = new S7.Net.Plc(CpuType.S71500, "192.168.1.10", 0, 1); plc.Open(); // 读取PLC中的DB块 byte[] buffer = new byte[256]; plc.Read("DB1.DBD0", buffer...
WPF 保姆级教程怎么实现一个树形菜单
kfashfasf的博客
09-09 1046
我们取名为bd1的border,最开始的Visibility设置的是Hidden,我们替换一下关于Bd的trigger,让它变成当IsSelected是true的情况下,让bd1的Visibility变成Visible.记得修改一下自己的项目名字,我取的是TreeViewDemo,改成自己的项目名就好了,最后的结尾,是FatSheep,记得改成自己的ICON项目名称。再运行一下项目,它就差不多实现我们想要的效果了,现在再去找领导交差,领导还会夸你做的不错,只是还差一个图标了,这个就是锦上添花的东西了.
WPF 手撸插件 八 依赖注入
bjxingch的博客
09-09 329
Autofac
开始一个WPF项目时的记忆重载入
郝玉杰的专栏
09-09 535
MDP是一个大的多维矩阵(或者红黑树,B树)路由器,如果target并不存在(或者说没有到它这里注册:register),收到的消息,被吞掉,而不会调用接收方的trigger agent.理解这一点,是最最重要的,占75%的占比。还是老办法,学好一门技术的要点虽然很多,但大致可以简化为两步:一是基础的知识要扎实,这里的基础知识,不是说你要背熟这个相关的,而是对UI的理解,对软件开发的分工的理解。但是其固有的复杂性,对于像我这样,并不是一直在从事界面开发的人来说,每次重启,都需要一两天的适应的时间。
springboot3 security前后端分离
08-28
- *1* *2* [最新整合springboot - security前后端分离 , 自定义登录接口](https://blog.csdn.net/qq_39130032/article/details/111030237)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值