项目_前后端分离认证解决方案_JWT认证

最新推荐文章于 2023-06-05 18:08:31 发布
最新推荐文章于 2023-06-05 18:08:31 发布
阅读量2.1w 收藏 14
点赞数 1
分类专栏: 个人笔记 项目 Spring Boot框架 文章标签: 安全 java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Window_mouse/article/details/124636964
版权

文章目录

前后端分离认证解决方案——JWT认证

0、前言

这个笔记其实是大概去年10月份,即2021年11月份写的,因为当时11月份有一个新的项目,给学校做一个OA系统,第一次接触团队开发,所以我当时就学习了一下JWT认证,记录了这个笔记。

emm,当时需求也比较简单,所以只是入门性地学习而已,并没有深入地去学习,后面有机会再补吧哈哈哈……

1、何为 JWT

在这里插入图片描述

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

官网地址:https://jwt.io/introduction/

# 1.官方定义
- jsonwebtoken(JWT)是一个开放标准(RFC7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。
- 此信息可以验证和信任,因为它是数字签名的。
- jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名


# 2.通俗理解
- JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在个各个方面之间安全地将信息作为JSON对象传输。
- 在数据传输的过程中还可以完成数据加密,签名等相关处理。

2、JWT 能做什么?

  • 授权

这是JWT最常见的方案。

一旦用户登录,后续的每个请求将包括JWT,从而允许用户访问该令牌允许的路由、服务和资源。

单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

  • 信息交换

JSON Web Token是在各方之间安全地传输信息的好方法。

因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。

此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。

3、JWT 认证

3.1、基于传统的 Session 认证

3.1.1、认证方式

众所周知,HTTP协议本身是一种无状态的协议,也就是说,用户登录认证之后,下一次请求时还需要再进行用户认证才行。

因为根据HTTP协议,我们并不能知道是哪个用户发出的请求,所以为了我们的应用可以识别是哪个用户发起请求,我们只能在服务器中存储一份用户的登录信息,这份登录信息会在响应时传递给浏览器,并告诉浏览器保存为Cookie,下次请求时带上这份登录信息,这样我们的应用就可以识别是哪个用户发起的请求了,这就是传统的基于Session认证。

3.1.2、认证流程

在这里插入图片描述

3.1.3、存在的问题

  1. 每个用户经过认证之后,我们的应用都要在服务端做一次记录,以便识别该用户的请求,而通常来说,session都是保存在内存中,随着用户增多,服务端的开销会明显增大。

  2. 用户认证之后,服务端做认证记录,如果认证的记录保存在内存中的话,这就意味着该用户的下次请求必须在这台服务器上,这样子才能拿到授权的资源。

    但是,这种情况在分布式的应用上,会限制负载均衡的能力,这也就限制了应用的扩展能力。

  3. 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

  4. 前后端分离的系统中,如果使用session每次都携带sessionId到服务器,服务器还要查询用户信息,若用户很多,这个信息都存储在服务器内存中,给服务器增加负担。

    在这里插入图片描述

    有可能会造成CSRF(跨站伪造请求攻击),session是基于cookie进行用户认证的,cookie如果被截获,用户就会很容易收到CSRF攻击。

    此外,sessionId是一个特征值,表达的信息不够丰富,不容易扩展,而且如果你后端应用是多节点部署,那么就需要实现session共享机制,这种做法不方便集群应用。

3.2、基于 JWT 认证

3.2.1、认证流程

在这里插入图片描述

  • 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这一过程一般是一个HTTPPOST请求。建议的方式是通过SSL加密的传输(HTTPS协议),从而避免敏感信息被嗅探。

  • 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同aaa.bbb.ccc的字符串。

    token head.payload.singurater

  • 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStoragesessionStorage上,退出登录时前端删除保存的JWT即可。

  • 前端在每次请求时将JWT放入HTTP Header中的Authorization位。

    (解决XSSXSRF问题)

  • 后端检查是否存在,如存在验证JWT的有效性,例如:

    • 检查签名是否正确;

    • 检查Token是否过期;

    • 检查Token的接收方是否是自己(可选)。

  • 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

3.2.2、JWT 优势
  1. 简洁(Compact):可以通过URLPOST参数或者在HTTP header发送,因为数据量小,传输速度也很快。
  2. 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。
  3. 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
  4. 不需要在服务端保存会话信息,特别适用于分布式微服务。

4、JWT 的结构

JWT由三部分构成:

  1. 标头(Header
  2. 有效载荷(Payload
  3. 签名(Signature

因此,JWT通常如下表示:aaa.bbbb.cccHeader.Payload.Signature

4.1、Header

Header标头通常由两部分组成:

  • 令牌的类型,即JWT
  • 所使用的签名算法,如HMACSHA256或者RSA
{
    "alg":"HS256",
    "typ":"JWT"
}

Header会使用Base64编码组成JWT结构的第一部分。

注:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。

4.2、Payload

令牌的第二部分是有效负载,其中包含声明。

声明是有关实体的声明(通常是用户)和其他数据的声明。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

同样的,它会使用Base64编码组成JWT结构的第二部分。

4.3、Signature

前面两部分,即HeaderPayload都是使用Base64进行编码的,我们可以反向解码得到里面的信息。

第三部分 ,即Signature,一个签证信息,这个信息由三部分组成:

  • HeaderBase64编码后)
  • PayloadBase64编码后)
  • Secret(密钥)

这部分需要HeaderBase64编码后)、PayloadBase64编码后)使用.连接组成的字符串,然后通过Header中指定的签名算法(HS256)进行签名。

签名的作用是保证JWT没有被篡改过。

//Java
String encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);

String signature = HS256(encodedString, secret);

在这里插入图片描述

在这里插入图片描述

  • 注意:Secret是保存在服务器端的,JWT的签发生成也是在服务器端的,Secret就是用来进行JWT的签发和JWT的验证。所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个Secret, 那就意味着客户端是可以自我签发JWT了。

  • 签名的目的:最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

  • 信息安全问题:Base64是一种编码,是可逆的。因此,我们在JWT中,不应该在负载里面存放任何敏感信息,如用户密码等等。如果存储了密码在负载中,那么通过Base64解码就可以得到你的密码了。

    • 因此JWT适合用于向Web应用传递一些非敏感信息。
    • JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。

5、JWT 的使用

5.1、引入依赖

<!--引入jwt-->
<dependency>
  	<groupId>com.auth0</groupId>
  	<artifactId>java-jwt</artifactId>
  	<version>3.4.0</version>
</dependency>

5.2、生成Token

Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 90);

//生成令牌
String token = JWT.create()
  .withClaim("username", "张三")//设置自定义用户名
  .withExpiresAt(instance.getTime())//设置过期时间
  .sign(Algorithm.HMAC256("token!Q2W#E$RW"));//设置签名 保密 复杂

//输出令牌
System.out.println(token);

/*
结果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg
*/

5.3、解析数据

根据令牌和签名解析数据

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build();
DecodedJWT decodedJWT = jwtVerifier.verify(token);

System.out.println("用户名: " + decodedJWT.getClaim("username").asString());
System.out.println("过期时间: "+decodedJWT.getExpiresAt());

5.4、常见的异常信息

  • SignatureVerificationException:签名不一致异常

  • TokenExpiredException:令牌过期异常

  • AlgorithmMismatchException:算法不匹配异常

  • InvalidClaimException:失效的payload异常

在这里插入图片描述

6、封装工具类

public class JWTUtils {
    private static String TOKEN = "token!Q@W3e4r";
    
    /**
     * 生成token
     * @param map 传入payload
     * @return 返回token
     */
    public static String getToken(Map<String,String> map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,7);	//设置7天过期
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(TOKEN)).toString();
    }
    
    /**
     * 验证token
     * @param token
     * @return
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
    
    /**
     * 获取token中payload
     * @param token
     * @return
     */
    public static DecodedJWT getToken(String token){
        return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
}

7、Spring Boot整合 JWT

7.1、导入依赖

<!--Spring Boot + MyBatis + JWT-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.4.0</version>
</dependency>

<!--引入mybatis-->
<dependency>
  <groupId>org.mybatis.spring.boot</groupId>
  <artifactId>mybatis-spring-boot-starter</artifactId>
  <version>2.1.3</version>
</dependency>

<!--引入lombok-->
<dependency>
  <groupId>org.projectlombok</groupId>
  <artifactId>lombok</artifactId>
  <version>1.18.12</version>
</dependency>

<!--引入druid-->
<dependency>
  <groupId>com.alibaba</groupId>
  <artifactId>druid</artifactId>
  <version>1.1.19</version>
</dependency>

<!--引入mysql-->
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
  <version>5.1.38</version>
</dependency>

7.2、编写配置

server.port=8989
spring.application.name=jwt

spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root

mybatis.type-aliases-package=edu.zhku.entity
mybatis.mapper-locations=classpath:edu/zhku/mapper/*.xml

logging.level.com.baizhi.dao=debug

7.3、创建数据库

这里采用最简单的表结构验证JWT使用。

DROP TABLE IF EXISTS `user`;
CREATE TABLE `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `name` varchar(80) DEFAULT NULL COMMENT '用户名',
  `password` varchar(40) DEFAULT NULL COMMENT '用户密码',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

在这里插入图片描述

7.4、编写实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain=true)
public class User {
    private String id;
    private String name;
    private String password;
}

7.5、编写Dao接口

@Mapper
public interface UserDAO {
    User login(User user);
}

<mapper namespace="com.baizhi.dao.UserDAO">
    <!--这里就写的简单点了毕竟不是重点-->
    <select id="login" parameterType="User" resultType="User">
        select * from user where name=#{name} and password = #{password}
    </select>
</mapper>

7.6、编写Service接口

public interface UserService {
    User login(User user);//登录接口
}

@Service
@Transactional
public class UserServiceImpl implements UserService {
    @Autowired
    private UserDAO userDAO;
    @Override
    @Transactional(propagation = Propagation.SUPPORTS)
    public User login(User user) {
        User userDB = userDAO.login(user);
        if(userDB!=null){
            return userDB;
        }
        throw  new RuntimeException("登录失败~~");
    }
}

7.7、编写Controller

@RestController
@Slf4j
public class UserController {
    @Autowired
    private UserService userService;
    @GetMapping("/user/login")
    public Map<String,Object> login(User user) {
        Map<String,Object> result = new HashMap<>();
        log.info("用户名: [{}]", user.getName());
        log.info("密码: [{}]", user.getPassword());
        try {
            User userDB = userService.login(user);
            Map<String, String> map = new HashMap<>();//用来存放payload
            map.put("id",userDB.getId());
            map.put("username", userDB.getName());
            String token = JWTUtils.getToken(map);
            result.put("state",true);
            result.put("msg","登录成功!!!");
            result.put("token",token); //成功返回token信息
        } catch (Exception e) {
            e.printStackTrace();
            result.put("state","false");
            result.put("msg",e.getMessage());
        }
        return result;
    }
}

7.8、模拟登录失败

使用Postman发起请求,模拟登录失败。

在这里插入图片描述

7.9、模拟登录成功

使用Postman发起请求,模拟登录成功。

在这里插入图片描述

7.10、编写测试接口

前端带着Token去访问后端的接口。

@PostMapping("/test/test")
public Map<String, Object> test(String token) {
  Map<String, Object> map = new HashMap<>();
  try {
    JWTUtils.verify(token);
    map.put("msg", "验证通过~~~");
    map.put("state", true);
  } catch (TokenExpiredException e) {
    map.put("state", false);
    map.put("msg", "Token已经过期!!!");
  } catch (SignatureVerificationException e){
    map.put("state", false);
    map.put("msg", "签名错误!!!");
  } catch (AlgorithmMismatchException e){
    map.put("state", false);
    map.put("msg", "加密算法不匹配!!!");
  } catch (Exception e) {
    e.printStackTrace();
    map.put("state", false);
    map.put("msg", "无效token~~");
  }
  return map;
}

在这里插入图片描述

通过Postman请求接口:

  • Token无效(或者不携带Token)

    在这里插入图片描述

  • Token有效

    在这里插入图片描述

7.11、改进整合方法

使用上述方式每次都要传递Token数据,每个方法都需要验证Token代码冗余,不够灵活? 如何优化?

  • 如果是单体项目可以使用拦截器进行优化

  • 如果是分布式项目,可以使用网关进行优化

此案例为单体项目,则使用拦截器进行优化。

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  String token = request.getHeader("token");
  Map<String,Object> map = new HashMap<>();
  try {
    JWTUtils.verify(token);
    return true;
  } catch (TokenExpiredException e) {
    map.put("state", false);
    map.put("msg", "Token已经过期!!!");
  } catch (SignatureVerificationException e){
    map.put("state", false);
    map.put("msg", "签名错误!!!");
  } catch (AlgorithmMismatchException e){
    map.put("state", false);
    map.put("msg", "加密算法不匹配!!!");
  } catch (Exception e) {
    e.printStackTrace();
    map.put("state", false);
    map.put("msg", "无效token~~");
  }
  String json = new ObjectMapper().writeValueAsString(map);
  response.setContentType("application/json;charset=UTF-8");
  response.getWriter().println(json);
  return false;
}

@Component
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtTokenInterceptor()).
          excludePathPatterns("/user/**")
          .addPathPatterns("/**");
    }
}

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlSWQiOiIyIiwidXNlck5hbWUiOiJzdWdhciIsImV4cCI6MTYzODk1MzIxNCwidXNlcklkIjoiMiJ9.XlPKaiRhuPXyeYtJT0juzvQ-n2LC5bHANp-Yp4g-f9E

学习教程:【编程不良人】JWT认证原理。

注:如有错误,敬请指正!!

窝在角落里学习
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cpp-jwt:C ++的JSON Web令牌库
02-05
cpp-jwt:C ++的JSON Web令牌库
一个用于在c++ - Thalhammer/jwt-cpp中创建和验证json web令牌的头库
01-27
一个用于在c++ - Thalhammer/jwt-cpp中创建和验证json web令牌的头库-源码
前后端分离式开发 jwt的使用
qq_62898618的博客
10-05 1535
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案
RESTFull风格的.NET Core微服务前后端分离架构实现之四(认证授权)
Suro
08-27 2350
前面我已经完成了一个完整的CRUD操作,并且通过了测试。这就是面向微服务的模块化开发模式,微服务模块之间的耦合性低,内部的内聚性高。其余的所有实际中的业务操作,都可以按照前面实现出来的功能,进行扩展。 要实现分布式的微服务架构,需要解决前端用户的认证授权问题。这里的前端用户,不一定是人,也可能是机器或者其他东西。分布式的微服务架构不适宜用session的解决方案来实现认证授权,注意这里我说的是不...
前后端分离架构下使用 Sa-Token 完成登录认证
shengzhang_的博客
06-05 1720
此时后端如果不做任何特殊处理,框架将会把Bearer视为token的一部分,无法正常读取token信息,导致鉴权失败。sa-token : # token前缀 token-prefix : Bearer此时 Sa-Token 便可在读取 Token 时裁剪掉Bearer,成功获取。Token前缀 与 Token值 之间必须有一个空格。一旦配置了 Token前缀,则前端提交Token时,必须带有前缀,否则会导致框架无法读取 Token。由于Cookie。
前后端分离经典处理方案总结-再也不用担心跨域认证不会做了
alian
04-25 3697
1.前后端不分离的场景 经典的Cookie和Session,前端访问服务器,从服务器拿到sessionId并记录在本地的Cookie中,下次访问带上sessionId,服务器就能表示是哪个用户进行访问了。 2.前后端进行分离 方法一(登录信息存在服务器中,前端存在Cookie中) cookie和session方法,但是要服务器和前端设置允许跨域携带cookie,服务器可以完成用户验证。但是会存在CSRF攻击的风险,黑客用错误连接欺骗用户访问服务器,欺骗连接会自动带上用户的Cookie通过验证就会造
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2595
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
使用JWT实现登录认证
progammer10086的博客
05-23 1775
session:存储再服务端,无法引用与分布式场景,并且需要占用服务端的资源cookie:存储再客户端,适用于分布式场景,但是存在安全问题,不支持垮域访问token:存储在localstorage中,更加灵活。
C++实现基于jwt的token验证
热门推荐
衣带渐宽终不悔,为伊消得人憔悴
05-19 1万+
最近做项目遇到一个问题,需要用jwt实现token的验证。首先到jwt的官网https://jwt.io/#libraries查看jwt支持哪些开源库。由于我用的是C++开发的项目,通过比较各个C++开源库,所以最终采用https://github.com/Thalhammer/jwt-cpp这个开源库实现基于jwt的token验证。采用该开源库主要是因为:1、该开源库支持所有的加密算法,可以参考...
JWT 快速入门,并实现登录认证
m0_56966142的博客
03-10 4009
一、JWT 简介 jwt(JSON Web Tokens),是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 1.1 Jwt认证流程 前端用户填写好用户名和密码,点击登录 后端对提交的用户名和密码进行校验,校验通过则发送token给前端 前端将token保存在cookie中,并在每一次请求时都将cookie一并发送给后端 后端对用户发送过来的token进行校验,并通过token识别是哪个用户。 1.2 sessio
cpp-jwt-utils:C ++ JSON Web令牌实用程序
03-30
C ++ JSON Web令牌实用程序 该库提供了实用程序,用于生成,解析和验证用于通过REST API实施身份验证机制的JWT(JSON Web令牌)。 设置 使用柯南下载 该库旨在通过使用软件包管理器进行安装。 因此,您只需要在柯南食谱中添加以下要求: def requirements ( self ): self . requires ( "JWTUtils/1.0.0@systelab/stable" ) 仅以示例的形式设置了此代码的版本号。 将其替换为所需的软件包以进行检索。 由于此软件包在conan-center上不可用,因此您还需要在安装依赖项之前配置一个远程存储库: conan remote add systelab-public https://csw.jfrog.io/artifactory/api/conan/cpp-conan-production-l
用于C ++的JSON Web令牌库-C/C++开发
05-26
CPP-JWT一个用于JSON Web令牌(JWT)的C ++ 14库。该库建有很多:red_heart:︎,可以更轻松地使用JWT。 由Arun Muralidharan撰写。 目录什么是示例API Philos CPP-JWT一个用于JSON Web令牌(JWT)的C ++ 14库这个小库内置了许多:red_heart:built,可以更轻松地使用JWT。 作者:阿伦·穆拉利达兰(Arun Muralidharan)。 目录什么是示例API哲学支持外部依赖项...编译器支持安装参数声明数据类型高级示例错误代码和异常其他标头数据有待改进的东西许可是什么? 对于未启动的用户,JSON Web令牌(JWT)是基于JSON的标准(RFC-7519),对于
资源前后端分离式分布式微服务架构项目用户认证SpringSecurityOauth2讲义+源码+视频
最新发布
03-03
资源前后端分离式分布式微服务架构项目用户认证SpringSecurityOauth2讲义+源码+视频 用户认证需求分析 理解 理解用户认证需求分析 "理解用户认证与授权的概念理解单点登录需求理解第三方认证需求"用户认证技术方案 ...
基于gin的golang web开发之认证利器jwt
01-19
JSON Web Token(JWT)是一种很流行的跨域认证解决方案JWT基于JSON可以在进行验证的同时附带身份信息,对于前后端分离项目很有帮助。 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
适用于多客户端(特别是移动端)的前后端解决方案 移动端使用的往往不是网页技术,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。 无状态化 JWT 是无状态化的,更...
基于SpringBoot2.x并采用前后端分离的企业级微服务多租户、多系统的系统架构.zip
01-15
真正实现了手撸RBAC、jwt的无状态统一权限认证解决方案,面向互联网设计同时适合B端和C端用户,支持… 软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目...
昆仑管理系统是一套基于前后端分离架构的后台管理系统
06-05
昆仑管理系统是一套基于前后端分离架构的后台管理系统。kunlun-web 基于React + Umi(乌米) + Ant Design (蚂蚁金服) 构建开发,提供前端解决方案;kunlun-service 基于 SpringBoot 与 Spring Cloud 构建开发,提供...
asp.net分离html,Aspnet前后端分离项目手记(二)关于token认证
weixin_29016315的博客
06-24 405
前后端分离项目中,首先我们要解决的问题就是身份认证以往的时候,我们使用cookie+session,或者只用cookie来保持会话。一,先来复习一下cookie和session首先我们来复习一下在aspnet中cookie和session的关系,做一个简单试验这是一个普通的view没有任何处理可以看到,没有任何东西(cookie),然后当我们写入一个session之后\会发现多了一个名为ASP...
Springboot+vue+shiro前后端分离项目解决权限验证提示没有认证(Authentation)的问题
qq_43114230的博客
01-11 1676
毕设做一个系统,其中涉及管理员、教师和学生三个角色,遂决定使用Springboot+vue+shiro(这三个技术只是这个记录中涉及到的三个技术或框架)。但是使用shiro的过程中遇到了非常多的问题。最后解决的问题是一直提示当前subject没有authentication。 直接把报错信息放到网上查发现没有一个解决问题的。 先说明解决方案: (1)注解不生效,在ShiroConfig里面配置两个bean: public DefaultAdvisorAutoProxyCreator adviso
springboot jwt token前后端分离_前后端分离JWT用户认证
05-20
JWT(JSON Web Token)是一种基于 JSON 的安全令牌,它可以在客户端和服务器之间安全传输信息。在前后端分离项目中,使用 JWT 进行用户认证可以方便地处理用户登录和权限控制。 以下是使用 Spring Boot 和 JWT 实现前后端分离的用户认证示例: 1. 添加依赖 在 pom.xml 中添加以下依赖: ```xml <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建 JWT 工具类 创建一个 JWT 工具类,用于生成和验证 JWT。以下是一个简单的实现: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", username); claims.put("iat", new Date()); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } catch (Exception e) { return null; } } public boolean validateToken(String token, String username) { String tokenUsername = getUsernameFromToken(token); return tokenUsername != null && tokenUsername.equals(username); } } ``` 3. 创建登录接口 创建一个登录接口,用于验证用户的用户名和密码,并返回 JWT: ```java @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateToken(authentication.getName()); return ResponseEntity.ok(new JwtResponse(jwt)); } ``` 4. 创建受保护的接口 创建一个受保护的接口,需要用户在请求头中传递 JWT。在该接口中,首先验证 JWT 是否有效,然后根据用户角色返回相应的数据: ```java @GetMapping("/data") @PreAuthorize("hasAnyRole('USER', 'ADMIN')") public ResponseEntity<?> getData() { String username = SecurityContextHolder.getContext().getAuthentication().getName(); if (jwtUtils.validateToken(jwt, username)) { // 返回数据 } else { throw new BadCredentialsException("Invalid JWT"); } } ``` 5. 配置 JWT 相关属性 在 application.properties 中配置 JWT 相关属性: ``` jwt.secret=mySecret jwt.expiration=86400000 # 1 day in milliseconds ``` 以上就是使用 Spring Boot 和 JWT 实现前后端分离的用户认证的示例。需要注意的是,JWT 本身并没有提供加密功能,因此需要使用一个密钥来保证 JWT安全性。在示例中,密钥存储在配置文件中,实际生产环境中应该使用更加安全的方式来存储密钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

窝在角落里学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值