前端项目中的鉴权是如何实现的?

最新推荐文章于 2023-10-24 00:18:05 发布
最新推荐文章于 2023-10-24 00:18:05 发布
阅读量1.6k 收藏 8
点赞数 1
分类专栏: web前端 文章标签: java 前端 服务器

一、token 验证登录流程

使用基于 Token 的身份验证方法,大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

总的来说就是客户端在首次登陆以后,服务端再次接收http请求的时候,就只认token了,请求只要每次把token带上就行了,服务器端会拦截所有的请求,然后校验token的合法性,合法就放行,不合法就返回401(鉴权失败)。


二、最常用的鉴权是 JWT方案(JSON WEB TOKEN)

JWT是什么?

JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案。就是登陆成功后将相关信息组成json对象,然后对这个对象进行某中方式的加密,返回给客户端,客户端在下次请求时带上这个token,服务端再收到请求时校验token合法性,其实也就是在校验请求的合法性。
JWT对象通常由三部分构成:

Headers: 包括类别(typ)、加密算法(alg)


{
  "alg": "HS256",
  "typ": "JWT"
}

Claims :包括需要传递的用户信息

    {
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
    }

Signature: 根据alg算法与私有秘钥进行加密得到的签名字串, 这一段是最重要的敏感信息,只能在服务端解密;

HMACSHA256(  
    base64UrlEncode(Headers) + "." +
    base64UrlEncode(Claims),
    SECREATE_KEY
)

编码之后的JWT看起来是这样的一串字符:


eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

三、 后端设计:nodejs+express+jwt-simple

auth.js

let jwt = require('jwt-simple');
let secret = "wangyy";
let time = 10;
 module.exports = { 
 /*
  *检验token合法性
 */ 
 validate:function(req,res,next){ 
      let token = req.body.Authorization||req.headers["Authorization"];
        if(token){ 
          let decodeToken = null;
          try { //防止假冒token解析報錯 
             decodeToken = jwt.decode(token,secret,'HS256'); 
          } catch (err) { 
            res.status(401).send("非法访问"); return; 
          } 
        let exp = decodeToken.exp; if(!exp){
        res.status(401).send("非法访问");
     }
     let now = new Date().getTime();
     if(exp>(now+time*60*1000)){
        res.send({code:'401',"errorMsg":"授权超时"})
      }
      next();
    }else{ 
       res.status(401).send("非法访问");
    }
  },
  /* 生成token*/ 
  makeToken(){ 
      let Token = null; 
      let payload = { 
              time:new Date().getTime(), 
              exp:this.makeExp(time) 
              } 
      Token = jwt.encode(payload,secret,HS256) return Token; 
 }, 
 /*生成token过期时间*/ 
 makeExp:function(time){
      let stam = time601000; 
   } 
 }

server.js

let express = require("express"); 
let app = express(); 
let bodyParser = require('body-parser'); 
let auth = require('./lib/auth.js'); 
let chalk = require('chalk'); app.use(bodyParser.json()); app.post('/login',function(req,res,next){ 
            let Token = auth.makeToken(); 
            res.json({result:"success",token:Token},200)
   });
app.use('*',[auth.validate],function(req,res,next){ 
     res.send('success'); 
  }); 
app.listen('9999')

上面只是一个简单的token生成和校验,如果有需要可以根据实际需要进行逻辑处理

四、前端设计

使用vuex保存全局状态,并做数据持久化
vuex里面面定义token变量来表示用户是否登录,初始值为’’


import createPersistedState from 'vuex-persistedstate'

export default new Vuex.Store({
	  state: {
	    token: '',
	  },
	  mutations: {
	    setIsLogin(state, isLogin) {  //登录成功调用
	      state.token = isLogin;
	    },
	    FedLogOut(state) {        //退出登陆执行
	      state.token=''
	    }
	  }
    actions,
    getters,
    plugins:[createPersistedState({  //vuex数据固化到本地缓存,数据持久化
        storage: window.localStorage
    })] 
});

配置request请求拦截器

request请求拦截器:发送请求前统一处理,如:设置请求头headers、应用的版本号、终端类型等。


service.interceptors.request.use(
  config => {
    if (store.state.token) {
     // 为请求头对象,添加token验证的Authorization字段
     config.headers.Authorization = store.state.token;     
    }
        return config
  },
  error => {
    // do something with request error
    console.log(error) // for debug
    return Promise.reject(error)
  }
)

response响应拦截器

response响应拦截器:有时候我们要根据响应的状态码来进行下一步操作,例如:由于当前的token过期,接口返回401未授权,那我们就要进行重新登录的操作。


service.interceptors.response.use(
  response => {
    Toast.clear()
    const res = response.data
    if (res.status && res.status !== 200) {
      // 登录超时,token过期返回401,重新登录
      if (res.status === 401) { 
        store.dispatch('FedLogOut').then(() => {
                router.replace({
                path: '/login'
                //登录成功后跳入浏览的当前页面
                // query: {redirect: router.currentRoute.fullPath}
            })
        })
      }
      return Promise.reject(res || 'error')
    } else {
      return Promise.resolve(res)
    }
  },
  error => {
    Toast.clear()
    console.log('err' + error) // for debug
    return Promise.reject(error)
  }
)

Jadon_z
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
React路由鉴权实现方法
11-30
单独项目是希望根据登录人来看下这个人是不是有权限进入当前页面。虽然服务端做了进行接口的权限,但是每一个路由加载的时候都要去请求这个接口太浪费了。有时候是通过SESSIONID来校验登陆权限的。 在正式开始 ...
vue项目前端鉴权实现(菜单权限,按钮权限)
Alice_czy的博客
09-24 3988
这段时间比较忙,参与了公司一个新的B端项目的研发,从无到有搭建项目的过程,遇到了关于项目鉴权的问题,和后端同事讨论了一下思路,自己也找了这方面的资料,整理如下文 权限管理分类: 1,菜单权限控制(页面级) 2,按钮权限控制(按钮级) 3,接口权限控制(url级别) 目前根据项目需求,实现了页面级和按钮级权限控制。 从实现思路来说,很简单,在用户输入用户名密码登录的时候,后台会返回该角色的权限集合,前端获取到录入本地存储,建议使用sessionStorage,在生成菜单的时候通过查询ses.
常见登录鉴权方案
奇舞周刊
11-02 780
‍背景说起鉴权大家应该都很熟悉,不过作为前端开发来讲,鉴权的流程大头都在后端小哥那边,本文的目的就是为了让大家了解一下常见的鉴权的方式和原理。认知:HTTP 是一个无状态协议,所以客户端...
关于前后端鉴权的几种方式
weixin_42724176的博客
03-05 971
关于前后端鉴权的几种方式 “ 人生亦有命,安能行叹复坐愁**”** 01 前言 最近看的比较多的方面都是关于计算机网络的内容,不得不说这个方面是真的很广泛,然后花了一些时间来了解一下如何实现前后端鉴权的方式,查阅了一下文章,也顺便写一下总结。 02 鉴权方式 前后之间进行数据交互,当然后端要判断你是否是真正的操作者,只有符合条件的用户才可以操作。也就是说必须要有一个身份证明你是一个好人...
前端鉴权方案
一群专业码农的笔记本
09-13 319
前端鉴权的背景 HTTP是无状态的,Http的请求方和响应方无法维护状态,都是一次性的。但是有的时候需要维护状态。 现代鉴权方案的根本原理就是:在服务端生成标记,在客户端或服务端保存标记,客户端在请求时带上标记,服务端校验客户端标识是否合法,再确定是否返回数据。以下5方法只是在细节上的差异。 cookie Session Token JWT 单点登录 Cookie是什么 cookie是服务器发送到用户浏览器并保存在本地的一小块数据,他会在浏览器下一次向同一服务器发起请求时被携带并发送到服务器上。 作用
前端鉴权的10种方式
椰卤工程师的个人博客
10-09 3330
鉴权(Authentication) 在信息安全领域是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。
如何实现用户登录鉴权?两种方式手把手教会你!
weixin_57569942的博客
08-10 1504
利用Session和Jwt生辰的token实现用户登录鉴权
前端鉴权的几种方式
前端程序员、项目经理、人工智能博主
10-24 397
SSO一般都需要一个独立的认证心(passport),子系统的登录均得通过passport,子系统本身将不参与登录操作,当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源,为了减少频繁认证,各个子系统在被passport授权以后,会建立一个局部会话,在一定时间内可以无需再次向passport发起认证。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户.之后用户与服务器通信的时候.服务器完全只靠这个对象认定用户身份。
聊聊前端鉴权方案
集成显卡的开源主页 https://github.com/0604hx
11-07 7593
前端鉴权主要分权限(角色/授权信息)获取、权限判断这两块,简单来说就是拿到规则跟应用规则
基于Vue和JavaScript实现的在线培训系统(前端部分)+项目说明.zip
06-05
基于Vue和JavaScript实现的在线培训系统(前端部分)+项目说明.zip 技术栈 Vue全家桶 + ElementUI + axios 实现功能 使用Layout组件作为公共样式,上侧标题栏,左侧路由导航栏,间部分展示信息 首页:dashboard,...
小说开源项目前端基于Flutter,后端是Python + Go双端,各自基于Flask、Gin实现了一遍
最新发布
03-05
小说开源项目前端基于Flutter,后端是Python + Go双端,各自基于Flask、Gin实现了一遍,包含了用户注册、登录、jwt鉴权、签到、任务、书架、阅读器、购买章节、搜索书籍、绑定第三方账号、设置等功能。 适合学习/...
小说开源项目前端基于Flutter,后端是Python + Go双端,各自基于Flask、Gin实现了一遍+源代码+文档说明
12-01
小说开源项目前端基于Flutter,后端是Python + Go双端,各自基于Flask、Gin实现了一遍,包含了用户注册、登录、jwt鉴权、签到、任务、书架、阅读器、购买章节、搜索书籍、绑定第三方账号、设置等功能。.zip 主要...
小说开源项目前端基于Flutter,后端是Python+Go双端,.zip
09-28
小说开源项目前端基于Flutter,后端是Python+Go双端,各自基于Flask、Gin实现了一遍,包含了用户注册、登录、jwt鉴权、签到、任务、书架、阅读器、购买章节、搜索书籍、绑定第三方账号、设置等功能。
springboot集成sa-token来实现登录鉴权(一)
书生灬今天不吃饭的博客
03-15 2435
sa-token是一个轻量级的登录鉴权框架,比之前的shiro和springsecurity都要轻量,一行代码就可以实现登录功能。sa-token官网。这里我们不再赘述。直接来看具体实现代码。
http(三)接口动态鉴权
w_t_y_y的博客
05-26 7000
一、问题说明:接口如果是被同一个项目前端项目调用,一般都是加了各种鉴权的,比如springsercurity+token安全机制,shiro 等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,肯定是不需要登录的,所以需要在自身的权限控制放开 该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方做个鉴权; 二、鉴权方法: 鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:...
Web API接口鉴权方式
人间世
02-28 5080
介绍web API接口的鉴权方式
前端怎么处理鉴权
越是安静内敛的人,越容易生不惊人死不休
11-03 793
鉴权主要针对rbac鉴权模式来进行控制
项目鉴权是如何实现的?
田兴的博客
09-17 4754
一、token 验证登录流程 使用基于 Token 的身份验证方法,大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
vue项目实现用户登录角色鉴权,不同的用户登录展示不同的菜单
05-26
实现用户登录角色鉴权可以分为以下几个步骤: 1. 创建路由配置文件 在路由配置文件定义不同的路由,每个路由对应一种权限。例如,管理员可以访问所有的路由,而普通用户只能访问部分路由。 ``` import Vue from 'vue' import Router from 'vue-router' import Admin from '@/views/Admin' import User from '@/views/User' import Login from '@/views/Login' Vue.use(Router) export default new Router({ routes: [ { path: '/admin', name: 'Admin', component: Admin, meta: { requiresAuth: true, roles: ['admin'] } }, { path: '/user', name: 'User', component: User, meta: { requiresAuth: true, roles: ['admin', 'user'] } }, { path: '/', name: 'Login', component: Login } ] }) ``` 2. 创建登录页 在登录页,用户输入用户名和密码后,将其发送至后端进行验证。验证通过后,后端返回一个包含用户信息和token的响应结果。前端可以将token存储在localStorage或sessionStorage,以便在后续的请求携带token。 3. 创建路由守卫 路由守卫可以用来检测用户是否有权限访问某个路由。在路由守卫,可以检查localStorage或sessionStorage是否存在token。如果不存在,则跳转到登录页;如果存在,则从token解析出用户信息,并检查用户是否有权限访问该路由。如果有权限,则继续访问该路由;如果没有权限,则跳转到没有权限的提示页面。 ``` import router from './router' // 路由守卫 router.beforeEach((to, from, next) => { // 判断该路由是否需要登录权限 if (to.meta.requiresAuth) { // 从localStorage获取token const token = window.localStorage.getItem('token') if (token) { // 解析token,获取用户信息 const payload = JSON.parse(atob(token.split('.')[1])) // 检查用户是否有权限访问该路由 if (to.meta.roles.includes(payload.role)) { next() } else { next('/unauthorized') } } else { next('/login') } } else { next() } }) ``` 4. 根据用户角色展示不同的菜单 在应用的导航栏或侧边栏,根据用户角色动态地展示不同的菜单。可以通过computed属性计算出当前用户有权限访问的菜单,并将其渲染到视图。 ``` <template> <div> <ul> <li v-if="showAdminMenu"><router-link to="/admin">管理页面</router-link></li> <li v-if="showUserMenu"><router-link to="/user">用户页面</router-link></li> </ul> </div> </template> <script> export default { computed: { showAdminMenu() { const token = window.localStorage.getItem('token') if (token) { const payload = JSON.parse(atob(token.split('.')[1])) return payload.role === 'admin' } else { return false } }, showUserMenu() { const token = window.localStorage.getItem('token') if (token) { const payload = JSON.parse(atob(token.split('.')[1])) return ['admin', 'user'].includes(payload.role) } else { return false } } } } </script> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值