前后台分离登录认证

于 2024-07-28 16:55:17 发布
阅读量884 收藏 18
点赞数 8
文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Supreme13/article/details/140752079
版权

用户认证问题,分为首次登陆,和二次认证。

  • 首次登录认证:用户名、密码和验证码完成登录

  • 二次 token 认证:请求头携带 Jwt 进行身份认证

一、前后台分离登录校验流程

流程:

  1. 前端携带用户名,密码访问登录接口
  2. 后端查询数据库,验证是否登录成功。如果正确,生成一个token
  3. 后端把token响应给前端
  4. 前端登录之后的访问请求接口,需要在请求头中携带token
  5. 后端获取请求头token,进行解析,获取UserId,根据Userd获取用户相关信息,如果有权限,则允许访问相关资源访问目标资源,响应给前端

二、SpringSecurity的认证流程

本质

SpringSecurity采用的是责任链设计模式, 本质是一个过滤器链。

责任链模式

  • 责任链模式(Chain of Responsibility Pattern)为请求创建了一个接收者对象的链。

  • 在这种模式中,通常每个接收者都包含对另一个接收者的引用,而连接起来形成一条链。

  • 请求在这个链上传递,直到链上的某一个对象决定处理此请求。

  • 如果一个对象不能处理该请求,那么它会把相同的请求传给下一个接收者,依此类推。

核心

SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。

图中只展示了核心过滤器,其它的非核心过滤器并没有在图中展示:

  • UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。
  • ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。
  • FilterSecurityInterceptor:负责权限校验的过滤器。我们可以通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。

我们也可以通过debug,查看SpringSecurity的过滤器链:

在我们的启动类添加对应的断点

在引入Spring Security依赖之后开发者不做任何配置时Spring Security会为我们加载一部分过滤器:

  • SecurityContextPersistenceFilter:在请求处理之前将安全信息加载到SecurityContextHolder中方便后续使用。请求结束后,在擦除SecurityContextHolder中的信息。

  • CsrfFilter:处理CSRF攻击

  • LogoutFilter:处理注销登录

  • UsernamePasswordAuthenticationFilter :处理填写了用户名密码的登陆请求——从表单中获取用户名密码,并进行身份验证。

  • DefaultLoginPageGeneratingFilter:配置默认登录页面

  • DefaultLogoutPageGeneratingFilter:配置默认注销页面

  • BasicAuthenticationFilter:处理HttpBasic登录

  • ExceptionTranslationFilter :异常过滤器,捕获过滤器链抛出的异常并进行处理,主要处理AccessDeniedException 和AuthenticationException 异常。

  • FilterSecurityInterceptor:根据资源权限配置来判断当前请求是否有权限访问对应的资源,如果访问受限会抛出相关异常,并由ExceptionTranslationFilter 过滤器进行捕获和处理。是过滤器链的最后一个过滤器,是过滤器链的出口。

认证流程详解

  • Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
  • AuthenticationManager接口:定义了认证Authentication的方法
  • UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
  • UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

修改为自定义认证流程

思路分析

登录:

  1. 自定义登录接口

  2. 调用ProviderManager的authenticate()方法进行认证,如果认证通过,则生成JWT

  3. 把用户信息存入redis中

  4. 自定义UserDetailsService接口实现类

  5. 我们在这个实现类查询数据库

校验:

  1. 定义JWT认证过滤器

  2. 获取token

  3. 解析token获取其中的uuid

  4. 从redis中获取用户信息

  5. 存入SecurityContextHolder

总结

从基本认证流程中不难看出,我们可以重写或者替换UsernamePasswordAuthenticationFilter过滤器,用以添加我们需要的业务处理逻辑,并且可以实现UserDetailsService接口,加入Spring Data JPA或者Mybatis用来访问数据库中的用户信息

Supreme13
关注
前后端分离验证码生成及校验(后端代码都有,解释注解也全)
lusutao的博客
02-24 3478
验证码生成后端 第一步 先导入依赖 <dependency> <groupId>com.github.axet</groupId> <artifactId>kaptcha</artifactId> <version>0.0.9</version> </dependency> 第二步 验证码配置类或者配置xml 在这里对于验证码的格式等进行设置。 <?xml version="1.0
Laravel8.* 实现后台分离登陆认证
瑾的日常
06-16 2001
1.启用Laravel认证 Laravel 的 laravel/ui 包提供了一种快速认证方法,可以使用一些简单的命令来支持你进行身份验证所需的所有路由和视图: composer require laravel/ui php artisan ui vue --auth 这个命令应该在新应用程序上使用,并将安装布局视图,注册和登录视图以及所有身份验证端点的路由。 还将生成一个 HomeController 来处理应用程序仪表板的登录后请求。 2.创建Admin模型 php artisan...
前后端分离登录验证功能实现案例
AnalogElectronic的博客
04-29 756
一、后端 @GetMapping("login") public ResponseDTO login(String userName, String password, HttpServletRequest request){ QueryWrapper<MyAppUser> queryWrapper = new QueryWrapper<>(); queryWrapper.eq("user_name",userName).eq("pa.
前后端分离项目springsecurity实现用户登录认证快速使用
m0_71751187的博客
03-20 1742
ps:该文章适合未系统学习springsecurity快速使用,可以直接cv使用,只有部分源码讲解,个人觉得先会用了再深究原理。
前后端分离---后端身份验证(session和jwt)
前端与计算机相关知识的分享,博主的qq523235674
03-07 8512
一.web开发模式 目主流的Web开发模式有两种,分别是: ①基于服务端渲染的传统Web开发模式 ②基于前后端分离的新型Web开发模式 1.服务器端渲染的Web开发模式 服务端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: 2.服务器端渲染的优缺点 ①优点: 端耗时少。因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即可。尤其是移动端,更省电。 有利于
前后端分离之JWT用户认证
xmt1139057136的专栏
01-06 492
前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资...
前后端分离JWT登录认证
qingfan_714的博客
08-30 925
详细的jwt登录认证,以及常用的前后端分离工具类
vue开发的项目后台管理系统采用vue-admin开发,后台分离,jwt登录认证.zip
10-21
在这个项目中,JWT用于登录认证,当用户成功登录后,服务器会返回一个JWT,客户端将其存储在本地(通常是Cookie或LocalStorage)。每次请求受保护的资源时,客户端都会将这个JWT发送到服务器,服务器验证其有效性,...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
vue开发的项目后台管理系统 采用vue-admin 开发,后台分离,jwt登录认证.zip
最新发布
08-19
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
实现前后端分离的登陆验证token思路
qq_40895460的博客
11-27 1777
实现前后端分离的登陆验证token思路
前后端分离常用的认证方式
m0_59708021的博客
06-28 1105
前后端分离常用的认证方式 前后端分离后端的交互是通过 API 进行的,那么其中的认证是少不了的。前后端分离中常用的认证方式有下面几种: Session-Cookie Token 验证 OAuth(开放授权) Session-Cookie 方式 Session-Cookie 方式是我们开发 web 应用时最常用的认证方式。它的认证过程一般是这样的: 1/ 用户浏览器向服务器发起认证请求,将用户名和密码发送给服务器。 2/ 服务器认证用户名和密码,若通过则创建一个 session 对话,并
SpringSecurity - 简单前后端分离 - 自定义认证
铠の魂博客
07-21 1721
终于到了我们关心的第一个问题,认证篇。此篇我们将结合面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity的认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
前后端分离jwt登录验证
我的博客
08-07 665
前后端分离jwt登录验证 (vue + springboot) 方案 第一次登录后,端j将后端返回的token保存在localStorage中 以后每次端访问后端接口时,都从localStorage中取出token加入请求header的Authorization字段 后端建立拦截器,拦截每个请求的header中的Authorization字段值,即token,校验token是否过期,如果过期返回响应码401,否则放行 端建立全局响应拦截器,如果拦截到接口请求响应码是401,就跳转到登录页面 log
前后端分离认证实践指南:Spring Security和JWT详解
七一
04-09 2968
简介 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可 以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。 认证: 验证访问系统的是不是本系统用户,并且要确认具体是哪个用户。 授权:也就是用户是否有权限进行某个操作 快速入门
前后端分离实现用户登录Token权限验证
Silence_dhy的博客
09-29 6511
Springboot+Vue前后端分离实现用户登录Token权限验证以及登录Token状态保存
android studio实现后台分离的选课系统
06-26
### 回答1: Android Studio是一款为安卓应用开发提供全套解决方案的IDE。当下,越来越多的应用程序集成了后台分离的技术,这种技术能够充分利用网络的优势分散负载,提高资源利用率,保证用户体验同时也能提高性能,使得开发者能够更加专注功能实现和UI设计。那么如何利用Android Studio实现后台分离的选课系统呢? 首先,在后台服务器中实现选课系统的核心功能,包括选课、退课、查看成绩等等,同时提供API供移动客户端使用。其次,在Android Studio中,应该采用MVVM架构分层,将Activity、Fragment和ViewModel分别放在不同的层次。这样,可以实现Activity、Fragment和ViewModel之间的解耦,使得代码更加清晰。 在具体实现方面,可以利用Retrofit + RxJava来实现API接口的访问和处理,它们的组合可以快速实现对后台数据的异步请求和响应处理。同时,对于UI界面的设计,可以利用Google官方的Material Design组件库,以便从美感和视觉交互层面来提高用户体验。 其次,为了保证系统的安全性,需要采用OAuth2.0协议对客户端的API请求进行授权,与此同时,后台服务器还应该采用安全认证技术,例如HTTPS来保证数据的安全性。 总之,利用Android Studio实现后台分离的选课系统,需考虑多方面的因素,例如架构、API访问和安全性等等。如果参考上述的实现方法,开发者可以通过Android Studio轻松地实现这一目标。 ### 回答2: Android Studio是一个非常流行的开发工具,可以帮助开发者很方便地实现各种应用程序。而对于学生选课系统来说,我们可以借助Android Studio实现后台分离的架构。 在实现后台分离的选课系统中,我们需要通过Android Studio构建Web API服务器,让端和后端能够通过API接口进行数据交互。在开发的过程中,我们需要设计API接口,以及后端服务,分别负责处理数据请求和响应,并将接口和服务组织成一个Web API服务器。 在端开发中,我们使用React Native来实现UI界面和用户交互,React Native是一个流行的跨平台框架,它可以通过JavaScript语言编写UI代码,并把这些代码转化为原生代码来实现界面展示。在这种情况下,我们需要使用相关的React Native模块和工具来实现选课系统的端部分。 最后,我们可以将后台组合起来,让API接口能够将数据传递给端,实现选课系统的功能。在这个过程中,我们需要注意接口和数据的安全性,同时也需要考虑系统的性能和扩展性。 总之,我们可以通过Android Studio将后台分离的选课系统开发出来,这个过程需要我们对相关技术有一定的了解和掌握,并且需要注重代码的可维护性和性能。当然,这个选课系统只是一个简单的例子,实际上,我们可以通过Android Studio实现更加复杂和功能强大的应用程序。 ### 回答3: 在Android Studio中实现后台分离的选课系统,需要分别开发端和后端。端主要面向用户,包括用户的课程查询、选课、退课等操作,后端则负责处理端传递过来的数据并且进行数据存储、业务逻辑处理等操作。 端开发需要优先确定好UI设计,保证用户体验。采用现有的设计模板,可以提高开发效率。Android Studio提供了各种UI组件,开发者可以根据需求自由组合,展现出富有交互性、美观合理的UI。 在后端开发中,首先需要搭建数据库环境,设计好数据库表结构。利用MySQL或MySQLite等数据库方便进行数据的存储和管理。后端开发需要使用Web框架如Spring等,通过MVC模型实现数据的处理和返回,方便维护和升级。后端还需要实现一些必要的安全性、架构性、高可用性等功能,确保系统稳定性和数据的安全性。 在后端交互方面,我们可以采用RESTful API或WebSocket等技术实现数据传输和通讯。Android Studio为了提高开发效率,内置很多便携的第三方库如Simple HTTP Library、Volley等,这些库可以帮助我们实现后端数据传输和通讯等功能。 综合考虑上述各个方面,我们可以在Android Studio中实现后台分离的选课系统。通过前后端分离,可以使代码层面实现模块化,从而增强系统的可维护性、灵活性和扩展性,同时也分别满足了用户和开发者的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值