前后端分离后用户登录状态的保持和登录状态的安全保障

最新推荐文章于 2024-08-09 22:29:12 发布
最新推荐文章于 2024-08-09 22:29:12 发布
阅读量1.4w 收藏 32
点赞数 7
分类专栏: vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/join_null/article/details/91505764
版权

1.前后端分离后,前端登录状态保持一般采用webstorage或是cookie来保存token或用户信息的方式来维持登录状态。如果webstorage或是cookie中没有token,则前端认为是没有登录,拦截到登录页面。vue中利用路由的beforeEach实现,可在main.js中做如下逻辑:

// 路由判断登录 根据路由配置文件的参数
router.beforeEach((to, from, next) => {
  if (to.matched.some(record => record.meta.requireAuth)){ // 判断该路由是否需要登录权限

    if (localStorage.token) { // 判断当前的token是否存在 ; 登录存入的token
      next();
    }
    else {
      console.log('需要登录');
      next({
        path: '/login',
        query: {redirect: to.fullPath} // 将跳转的路由path作为参数,登录成功后跳转到该路由
      })
    }
  }
  else {
    next();
  }
});

router中配置,通过meta指定路由是否需要登录校验标识

export default new Router({
  routes: [
    {
      path: '/login',
      name: 'login',
      component: Login
    },
    {
      path: '/',
      name: 'App',
      meta:{
        requireAuth: true,
      },
      component:App,
      children:[
        {
          path: 'mycomp/xxx1',
          component: MyComp
        },
        {
          path: 'mycomp/xxx2',
          component: MyComp
        },
        {
          path: 'mycomp/xxx3',
          component: MyComp
        },
        {
          path: 'user/list',
          component: UserlIst
        }
      ]
    }

  ]
})

2.如上虽然利用localstorage实现了登录状态的校验。这里有个问题,如果用户在浏览器控制台手动往localstorage中添加一个token,然后就可以进入系统内的页面了。这是我们不希望的。如果想避免这种情况,必须依靠后端共同配合。即在上面判断localstorage中是否存在token,如果存在则把这个token发送到后台校验这个token是否正确,如果后台校验未通过则跳到登录界面

// 路由判断登录 根据路由配置文件的参数
router.beforeEach((to, from, next) => {
  if (to.matched.some(record => record.meta.requireAuth)){ // 判断该路由是否需要登录权限

    if (localStorage.token) { // 判断当前的token是否存在,存在则向后台发送校验
      let validateToken=调用后端接口校验localStorage.token;

          if(!validateToken){
            next({
            path: '/login',
            query: {redirect: to.fullPath} // 将跳转的路由path作为参数,登录成功后跳转到该路由
            });
          }
      next();
    }
    else {
      console.log('需要登录');
      next({
        path: '/login',
        query: {redirect: to.fullPath} // 将跳转的路由path作为参数,登录成功后跳转到该路由
      })
    }
  }
  else {
    next();
  }
});

3.上面2步控制了未登录时,无法访问系统内的页面。但对于页面上发起的请求并没有控制。比如在页面上有个按钮会像后台请求接口获取数据,这时后台返回token已经过期或是token校验未通过,我们希望用户被打入登录界面,进行登录。这时要用http请求的拦截器。比如vue项目中,请求使用的vue-resource,在main.js加入如下代码:

Vue.http.interceptors.push((request, next) => {
  //为所有请求添加token头
  if(localStorage.token){
    request.headers.set('Authorization', "Bearer "+localStorage.token);
  }

  //后端响应回来,首先进入这个next的回调函数中
  next((response) => {
    //如果后端返回401,则认为是token验证失败,跳转到登录页面
    if(response.status == 401){
      router.push("/login")
    }
    return response
  });
});

注意:vue项目对router、Vue.http等进行配置时,一定要在new Vue实例之前,否则加入的逻辑不生效

一般情况下,加1、3两步进行控制即可

join_null
关注
专栏目录
前后端分离 | 关于登录状态那些事
weixin_34270865的博客
10-12 1368
背景 登录是一个网站最基础的功能。有人说它很简单,其实不然,登录逻辑很简单,但涉及知识点比较多,如:密码加密、cookie、session、token、JWT等。 我们看一下传统的做法,前后端统一在一个服务中: 如图所示,逻辑处理和页面放在一个服务中,用户输入用户名、密码后,后台服务在session中设置登录状态,和用户的一些基本信息,然后将响应(Re...
前后端分离架构下的接口安全保障机制
最新发布
xcc212的博客
09-14 984
前后端分离架构下的接口安全保障机制是多方面的,需要综合考虑鉴权、限流、熔断等多个方面。通过合理的设计和实现,可以有效地保证系统的安全性、稳定性和高可用性。
前后端分离用户登录状态管理和校验
热门推荐
万少博-FE
06-10 1万+
最新更新时间:2019年06月10日17:23:05 《猛戳-查看我的博客地图-总有你意想不到的惊喜》 本文内容:前后端开发分离,如何实现用户登录状态监控和校验,要解决的几个问题: A用户登录A机器成功,此时A用户登录B机器,A机器的A用户登录状态需要下线,即保证一个用户只能同时在线一台机器; A用户登录成功,一周之内不需要再次登录; 实现原理 用户首次访问站点,后端从请求体中读取co...
前端保存登录信息-jwt的使用
dgiij的博客
08-09 726
node+express开发中,经常会使用后端session+前端cookie方式来保存登录信息,如果后端采用多服务器的话,session要共享还得采用redis来保存session。另外前端,用cookie来存放sessionid或者其他一些登录信息,而一些禁用了cookie的场景,或者一些本身就不是浏览器的应用的话,在cookie中保存登录信息就不太适用了。这种情况下,可以考虑采用jwt存本地存储方式来对应。"app服务错,请稍后再刷新页面"以下给出一个简单的例子。"请输入用户名和密码!
Java Web项目问题总结:前后端分离的时候怎么保存登录信息、拦截器和过滤器的区别
m0_46378271的博客
04-26 1759
一、前后端分离的时候怎么保存登录信息 有两种方式: 1.1 老方式,后台session方式: 首次登录把密码用户名传后台。后台先判断是否正确,正确的话后台也会给cookie里写入密码,用户名和 sessionId。以后每请求都会带sessionId,后台就知道这是登录状态。cookie里的用户名,密码的保存时效后台就可以设置,也就是自动登录保持多久。 这种老方式,前端不用干什么工作。 1.2 新方式,前端token方式: 首次登录把密码用户名传后台。后台先判断是否正确,正确的话后台也会给前端返回一个tok
前后端分离使用 Token 登录解决方案
weixin_33943347的博客
08-24 6702
这篇文章写一下前后端分离下的登录解决方案,目前大多数都采用请求头携带 Token 的形式。 开写之前先捋一下整理思路: 首次登录时,后端服务器判断用户账号密码正确之后,根据用户id、用户名、定义好的秘钥、过期时间生成 token ,返回给前端; 前端拿到后端返回的 token ,存储在 localStroage 和 Vuex 里; 前端每次路由跳转,判断 localStroage 有无 toke...
springboot3+ vue3前后端分离项目搭建代码
04-05
前后端分离是指将Web应用的前端和后端逻辑分开处理,前端主要负责用户交互和视图展示,后端则处理业务逻辑和数据管理。这种模式提高了开发效率,使得前后端可以独立开发和部署。在这个项目中,Spring Boot作为后端...
基于CAS思想实现的前后端分离单点登录
qq_37024565的博客
09-06 1067
文章目录前言在下的遇到的问题前后端分离场景重定向问题安全问题流程设计代码实现服务端客户端 前言 SSO(Single Sing On)单点登录是一种架构,一种思想。 CAS(Center Authentication Server)中心授权服务 是一个开源的协议,是SSO的一种具体的实现。当然SSO还有其他的实现,比如Cookier同域名的场景。 Auth是一种授权协议,不涉及具体代码,只是表示一种约定的流程和规范。Oauth协议一般是用于用户决定是把自己在某个服务上的资源(头像、照片等资源)授权给第三方
基于SpringBoot+vue的前后端分离权限管理系统,界面美观,代码简洁易读
06-01
总的来说,基于SpringBoot+Vue的权限管理系统结合了两者的优点,既具备后端的强大处理能力和安全性,又拥有前端的高效渲染和用户友好体验。通过深入理解和熟练掌握这些技术,开发者可以构建出更多高效、稳定且易用的...
Vue登录注册并保持登录状态的方法
10-18
值得注意的是,在前后端分离的架构中,前端不应当直接管理用户的登录状态,这可能会带来安全风险。理想的做法是后端生成一个签名的Token(如JWT),前端在用户登录成功后接收该Token,并将其存储于localStorage或...
多端前后台分离如何保证唯一登录
u013008898的博客
12-20 355
每次登录成功后,{login:{userId}:{type}} 对应的value值都会变为最后一次登录的token,此时首先根据token进行解密,得到key,通过key得到value,使用value判断当前值与用户token是否一致,一致的话为有效token,不一致则token过期或失效。{login:{userId}:{type}} : value为token值。1.区分多端redis中存储key。2.如何保证唯一登录
php维持登录,php怎么保持登录状态
weixin_31702225的博客
03-09 507
php怎么保持登录状态?下面本篇文章给大家介绍一下php保持登录状态的方法。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。php保持登录状态的方法:1、将用户信息,比如一个['uid'=>123, 'username'=>'testuser']的数组,序列化后成为字符串,使用可逆加密算法加密该字符串,写到一个Key为userinfo的COOKIE里。2、由于可逆加密算...
前后端分离开发登录
m0_62404386的博客
08-09 998
前后端分离开发登录
前后端分离,session一致性问题
tianyuConqueror的博客
10-22 2402
后端使用springboot2.x版本的,新建一个配置类,然后实现WebMvcConfigurer类,并重写下方的方法即可完成后端的跨域 前端是vue写的,为了解决跨域需要在main.js文件中配置红色框中的代码 如此设置即可解决前后端session不一致问题。 在测试阶段,前端和后端分别在两台本地电脑上,使用其他安卓手机浏览器都可以正常操作,但是在使用苹果手机自带的Safari浏览...
对于搭建nginx后前后端分离用户信息存储问题
weixin_56320090的博客
05-10 553
对于搭建nginx后前后端分离用户信息存储问题 我们后端使用springboot技术、shiro、reids非关系型数据库、mysql关系型数据库和mybatis-plus public CommonResult findByNameAndPassword(LoginVo loginVo) { QueryWrapper<User> wrapper=new QueryWrapper<>(); wrapper.eq("username",login
前后端分离状态保持问题之JWT
bing_bg的博客
04-08 1363
问题原因 在传统的项目中我们利用,session+cookie来保持用户的登录状态,但这在前后端分离项⽬目中出现了问题;sessionid是使用cookie存储在客户端的,而cookie遵守同源策略,只在同源的请求中有效,这就导致了问题出现:前后端分离后静态资源完全可能(而且经常…)部署到另一个域下,导致cookie失效。 虽然我们可以在cookie中指定domain来解决,但是cookie必须针...
前端安全系列之登录那些事
qq_53058639的博客
01-02 926
无论web系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问web系统的整个应用群与访问单个系统一样,只要登录/注销一次就够了。危害:增加公司的运营成本,因为短信是需要计费的;第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。相比于单系统登录,SSO需要一个独立的认证中心,只有认证中心能接受用户的用 户名密码等安全信息,其它系统不提供登录入口,只接受认证中心的间接授权。
前后端分离登录
m0_51279688的博客
11-16 3960
1.http无协议 因为HTTP是无状态的协议,也就是说,这个协议是无法记录用户访问状态的,其每次请求都是独立的无关联的,一笔是一笔。而我们的网站都是设计成多个页面的,所在页面跳转过程中我们需要知道用户的状态,尤其是用户登录状态,这样我们在页面跳转后我们才知道是否可以让用户有权限来操作一些功能或是查看一些数据。 所以,我们每个页面都需要对用户的身份进行认证。为了实现这一功能,用得最多的技术就是浏览器的cookie,我们会把用户登录的信息存放在客户端的cookie里,这样,我们每个页面都从这个cookie里
前后端分离 .net
09-05
前后端分离 (Frontend-Backend Separation) 对于.NET 开发同样适用,它是一种现代web应用程序架构模式。在这种架构下,前端和后端的功能和服务被明确地分开并各自独立开发: **前端部分(.NET客户端)**: 1. **HTML/CSS/JavaScript +框架(如Angular, React, Vue等)**: .NET开发者通常使用.NET Core或ASP.NET Core创建API,同时前端开发者使用React、Angular或Vue.js等前端框架构建用户界面。这些框架允许分离的组件化开发,提高了开发效率。 2. **AJAX/RESTful API通信**: 前端通过HTTP请求访问.NET Core提供的RESTful API,获取数据或执行操作。 3. **状态管理(Redux, Vuex)**: 应用状态由前端管理,比如使用Redux进行全局状态管理。 **后端部分(.NET服务器端)**: 1. **.NET Core或ASP.NET Core**: 运行于服务器上的.NET框架提供API逻辑,处理HTTP请求,包括身份验证、授权、业务逻辑以及数据库操作。 2. **Web API或Controller**: 创建RESTful服务,返回JSON格式的数据给前端。 3. **安全性**: 可能使用JWT(Json Web Tokens)或其他认证机制对API请求进行身份验证。 **优点**: - 易于维护和扩展:前端和后端独立开发,每个部分都有更清晰的责任边界。 - 具有更好的性能优化潜力:前端可根据需要异步加载资源,后端专注于数据处理。 - 更好的用户体验:前端可以根据不同设备和浏览器调整渲染效果。 **相关问题--:** 1. 在.NET中如何实现前后端分离的最佳实践? 2. 怎么结合.MVC模式和前后端分离在.NET Core中工作? 3. 如何保障在.NET前后端分离架构下的API安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值