【springboot进阶】jwt在前后端分离的最佳实践方式(一)

已于 2022-06-15 10:40:39 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: springboot进阶应用 文章标签: 前端
于 2022-06-05 23:27:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lrb0677/article/details/125137112
版权

目录

一、什么是前后端分离

二、jwt起源

三、token认证机制

四、jwt构成

头部header

载荷payload

签证 signature

五、如何应用

第一小节,我们先对一些背景和相关术语进行说明。

一、什么是前后端分离

用通俗的话讲就是:前端开发人员做页面样式的开发,后端开发人员处理功能逻辑开发,互不干扰各做各的部分,最终后端开发人员通过协商好的接口协议(一般是json格式)提供给前端开发人员数据,进行页面数据渲染。

前后端分离是目前热门的开发方式,大部分互联网都会采用前后端分离的方式开发。它的优点也很明显,相对于以往传统的单体结构系统,前后端耦合度降低,工作效率得到明显的提高。同时随着vue等一些前端技术栈越来越丰富,前后端开发的模式变得越来越流行。

二、jwt起源

在传统的单体结构系统中,一般会使用session认证,这是一种基于服务器端的认证方式,一般服务器存储一份用户登录的信息到内存,并通过前端cookie技术,使应用系统能识别请求来自哪个用户。

这样的弊端也很明显,因为服务器要对每一个认证用户都需要保存一份信息,所以服务端的开销会明显增大。其次不便于扩展,特别在分布式的架构上,为了确保用户的请求能到达同一认证服务器上,相应的限制了负载均衡器的能力。

基于以上的问题,我们一般采用token认证机制来解决。

三、token认证机制

token认证机制,它是无状态的,它不需要在服务端保存用户的认证信息。这就意味着基于token认证机制的应用系统不需要去考虑用户在哪一台服务器认证过了,这就有利于应用的扩展。

一般的token认证机制如下:

  1. 用户认证信息发送到服务器
  2. 服务器对用户认证信息进行校验
  3. 服务器校验通过后,返回用户端一个token
  4. 用户端存储token,并在每次请求时带上这个token值
  5. 服务器对请求的token值进行合法验证,如果验证通过,则允许用户访问相应资源 

四、jwt构成

jwt是由三段信息构成:第一部分为头部(header),第二部分为载荷(payload),第三部分是签证(signature)。

jwt字符串样例:

//每个小圆点间为一部分,一共是三段内容拼接而成
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcl9uYW1lIjoi5byg5LiJIiwiZXhwIjoxNjU0NTI2MDU5fQ.MCuHhUOoRkMeabCk2SlfubDAL7ZgOopn7nti5QDaEhY

头部header

jwt的头部有两部分信息:

  • 声明类型,为jwt
  • 声明加密的算法,为HMAC SHA256

样例中的头部信息

{
    "typ": "JWT",
    "alg": "HS256"
}

载荷payload

载荷就是存放有效信息的地方。这些信息包含三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

样例中的载荷信息,定义了用户id、用户姓名、还携带了一个过期时间。

{
    "user_id": "123456",
    "user_name": "张三",
    "exp": 1654526059
}

*注意:因为密文可通过base64解密,所以载荷中不要存放敏感信息,如用户密码、身份证等。

签证 signature

jw签证信息由三部分组成:

  • header (base64)
  • payload (base64)
  • secret

这个部分是由base64加密后的header和base64加密后的payload,然后通过'.'连接组成的字符串,最后通过header中声明的加密方式进行加盐secret组合加密得出。

五、如何应用

需在项目pom.xml引入jwt依赖包

    <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.19.1</version>
    </dependency>

服务器端生成jwt样例 

//密钥secret
String JWT_USER_AUTH_SECRET = "qwerasdf123";

JWTCreator.Builder builder = JWT.create();
//添加claim
builder.withClaim("user_id", "123456");
builder.withClaim("user_name", "张三");
//设置JWT令牌的过期时间为一天
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 1 * 86400);
builder.withExpiresAt(instance.getTime());
//生成JWT
String token = builder.sign(Algorithm.HMAC256(JWT_USER_AUTH_SECRET));
System.out.println(token);

前端开发调用接口时在请求头里加入Authorization,并加上Bearer标注

fetch('api/user/123456', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

reui
关注
专栏目录
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 5941
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
SpringBoot2.2.6 整合Jwt实现前后端分离
04-23
SpringBoot2.2.6整合MyBatis3.5.4,利用JWT技术实现前后端分离 数据库采用的是MySQL
springboot进阶jwt前后端分离最佳实践方式(二)
06-07 1083
使用拦截器对jwt进行校验,并解密出jwt附带的字段信息,并进行封装成自定义的bean,最后通过自定义参数解析器,将bean注入到controller控制器。
如何在前后端分离项目中,使用Spring Security
最新发布
繁依Fanyi的博客
08-08 967
使用 WebSecurityConfigurationAdapter 在前后端分离的架构中,通常使用 Token 进行认证和授权是一种常见的做法。Token 可以是 JSON Web TokenJWT),用于在客户端和服务器之间传递身份信息和访问控制信息。下面我将详细介绍如何在 Spring Boot 后端和 Vue 前端应用中使用 TokenJWT)来实现认证和授权。 后端(Spring Boot + Spring Security + JWT) 1. 添加依赖 首先,确保在你的 Spring Boo
全网最详细教程:前后端分离项目JWT解决方案
qq_14853853的博客
12-30 2001
目录前言:1.JWT介绍1.1什么是JWT1.2结构解析headerpayloadSignature1.3小结2.环境搭建2.1引入依赖2.2工具类2.3后端主要代码讲解2.4前端主要代码3.总结 前言: 本文主要讲解谷歌浏览器80版本session不一致问题的解决方案二,方案一大家可以看看这篇文章,是基于session的方式传送门。 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 1.JWT介绍 1.1什么是
五分钟SpringBootJWT最佳实践
HouXinLin_CSDN的博客
07-16 946
JWT简介 JWT的全称叫Json Web Token。JSON Web Token是一个开放标准(RFC 7519),该Token被设计为紧凑且安全的,用于在各方之间作为JSON对象安全地传输信息。由于信息是经过数字签名的,因此可以进行验证和信任。客户端只需使用一次凭据即可向服务器进行身份验证。在此期间,服务器验证凭据,并向客户端返回JWT。对于以后的所有请求,客户端可以使用这个Token向服务器进行身份验证,就不需要发送用户名和密码之类的凭据。 JSON Web Token由三部分组成,它们之间用圆点(
SpringBoot实现JWT保护前后端分离RESTful API
weixin_30865427的博客
10-13 198
原文链接:https://www.jianshu.com/p/e62af4a217eb 通常情况下, 将api直接暴露出来是非常危险的. 每一个api呼叫, 用户都应该附上额外的信息, 以供我们认证和授权. 而JWT是一种既能满足这样需求, 而又简单安全便捷的方法. 前端login获取JWT之后, 只需在每一次HTTP呼叫的时候添加上JWT作为HTTP Header即可. 本文将用不到...
一步步带你了解前后端分离利器之JWT
徐刘根的博客
01-30 8325
一、HTTP的无状态性 HTTP 是无状态协议,它不对之前发送过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。假设要求登录认证的 Web 页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。 不可否认,无状态协议当然也有它的优点。由于不必保存状态,自然可减少服务器的 CPU 及内存资源的
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
基于springboot和vue前后端分离的博客系统+源代码+文档说明
11-28
后端采用springboot实现,使用shiro和jwt做用户认证和授权,redis做nosql缓存,项目部署在宝塔面板上。 #### **技术栈** **前端** | 名称 | 技术点 | | ---------- | ------------------------- | | 基础 | vue...
基于SpringBoot+Mybatis-Plus+JWT 前后端分离的社区系统源码.zip
08-30
Plus+JWT 前后端分离的社区系统源码.zip基于SpringBoot+Mybatis-Plus+JWT 前后端分离的社区系统源码.zip基于SpringBoot+Mybatis-Plus+JWT 前后端分离的社区系统源码.zip基于SpringBoot+Mybatis-Plus+JWT 前后端分离...
基于 SpringBoot、Spring Security、JWT前后端分离权限管理系统+源代码+文档说明
11-28
- 高效率开发,使用代码生成器可以一键生成前后端代码。 ## 功能 - 用户管理:用户是系统操作者,该功能主要完成系统用户配置。 - 部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限。 - ...
毕业设计&课设-基于 SpringBoot、Spring Security、JWT前后端分离权限管理系统.zip
06-16
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
谈谈前后端分离及认证选择
汉堡请不要欺负面条
09-30 547
什么是前后端分离?为什么要前后端分离前后端分离,说的更多的是一种架构上的概念。在传统的web架构中,比如经典的MVC,会分数据层、逻辑层、视图层。这个视图层即我们所说的前端了,映射到代码层面,就是html、js、css等代码文件。数据层和逻辑层更多的是后端部分,例如我们的.java、.go、.py等文件。这些文件会在一个工程中,并不会单独的开发、测试、部署。 在前后端分离的架构中,前端和后端是分开的,分别在不同的工程中。前端有专门的前端开发人员来进行开发、测试,后端则有后端开发人员来进行开发..
前后端分离:最基础的SpringBoot+JWT实现登陆认证(附完整项目GitHub地址)
欢迎来到「小菠萝」的博客
02-18 1516
JWT官网地址:https://jwt.io/ 1. SpringBoot-JWT Demo结构 2. 数据库准备 只需要一张user表,用于保存用户的用户名和密码。 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for user...
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 4085
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
jwt 实践以及与 session 对比
weixin_34185364的博客
07-21 228
JSON Web Token 是 rfc7519 出的一份标准,使用 JSON 来传递数据,用于判定用户是否登录状态。 jwt 之前,使用 session 来做用户认证。 以下代码均使用 javascript 编写。 原文链接见 山月的博客 session 传统登录的方式是使用 session + tokentoken 是指在客户端使用 token 作为用户状态凭证,浏览器一般存储在 lo...
SpringBoot+SpringSecurity+JWT前后端分离(一)
m0_49844045的博客
09-15 513
1、引入坐标 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、实现UserDetails接口实体 /* * @description: 用户信息封装 */ @Data public class SecurityUs
jwt配置 restful_SpringBoot实现JWT保护前后端分离RESTful API
weixin_29615645的博客
01-14 210
本文将用不到100行Java代码, 教你如何在Spring Boot里面用JWT保护RESTful api.登录前登录之后即可得到正确结果登陆后1. 什么是JWT了解JWT的同学可以跳过这一部分废话少说, 我们先看看什么是JWT. JSON Web Token其实就是一个包含认证数据的JSON, 大概长这样子分三个部分,第一部分{"alg":"HS512"}是签名算法第二部分{"exp":149...
springboot vue jwt swagger前后端分离 mysql后台管理
09-08
Spring Boot是一个用于构建独立的、生产级别的Java应用程序的开源框架。它提供了简化的配置和快速开发的能力,能够帮助开发人员快速构建高效可靠的后端服务。Vue是一个用于构建用户界面的JavaScript框架,它专注于视图层的开发,可以与后端服务进行无缝集成。 JWT(JSON Web Token)是一种用于认证和授权的开放标准,它允许服务器生成令牌并将其发送给客户端,客户端之后可以使用该令牌访问受保护的资源。在前后端分离的架构中,JWT被广泛应用于用户身份验证和权限管理。 Swagger是一个用于设计、构建、文档化和使用RESTful Web服务的工具集合。它提供了一套自动生成API文档的功能,能够大大减少开发人员编写和维护API文档的工作量,同时也提供了一个交互式的界面,方便开发人员进行API测试和调试。 MySQL是一个开源的关系型数据库管理系统,广泛应用于互联网应用的数据存储和管理。 综上所述,Spring Boot、Vue、JWT、Swagger和MySQL是一个常用的前后端分离架构的技术组合。使用Spring Boot作为后端服务框架,Vue作为前端框架,通过JWT实现用户认证和权限管理,使用Swagger生成API文档,并利用MySQL进行数据的存储和管理。这种架构具有高效开发、易于维护和扩展的特点,适用于构建各种类型的Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

reui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值