Cors跨域和Jwt(Token)

已于 2023-08-08 18:47:18 修改
阅读量526 收藏
点赞数
文章标签: java 后端
于 2023-08-02 21:54:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyc158/article/details/132038699
版权

目录

一,浏览器的同源策略

1,同源与跨域

2,浏览器的同源策略

二,跨域处理方案(后端)

三,Cors过滤器

实现方法:①:实现Filter接口②:重写init,dofilter,destroy。③:dofilter中设置跨域配置

四,Jwt(Token)

Token的使用:Maven项目

1,导入依赖(版本自己选择)

2,编写工具类

3,用户登录的时候创建Token,放在响应头中。(使用原生的servletResponse)

4,写一个过滤器判断请求中是否存在token存在则对Token进行校验。成功则放行,不成功则返回失败。

一,浏览器的同源策略

1,同源与跨域

        url:  通讯协议://IP地址:端口号/资源路径
        两次请求的协议,ip,端口号都相同,我们认为两次请求的同源的
        否则,不同源,需要跨域(Cors)。

2,浏览器的同源策略

        浏览器发送请求,同源可以发送,不同源不能发送请求。(浏览器的安全机制)
        部分html标签支持跨域script,,a,link,img等

        但在项目中使用Ajax调用接口,默认是不能跨域的。
报错图片:

二,跨域处理方案(后端)

1,使用nginx服务器

2,Cors跨域资源共享,后端设置可以跨域。

三,Cors过滤器

跨域请求时复杂请求。
复杂请求跨域访问,会先发一次预检请求,请求方式时OPTIONS。
如果预检请求允许,发送真正的请求,不允许则控制台报错。

实现方法:
①:实现Filter接口
②:重写init,dofilter,destroy。
③:dofilter中设置跨域配置
 
HttpServletResponse  resp=(HttpServletResponse)servletResponse;
        HttpServletRequest  req=(HttpServletRequest)servletRequest;

        //设置cors:允许跨域访问

//        预检请求方式是:OPTIONS

//        1\允许哪些域可以访问我
        resp.setHeader("Access-Control-Allow-Origin","*");
//        resp.setHeader("Access-Control-Allow-Origin","http://localhost:8080");
//        resp.setHeader("Access-Control-Allow-Origin",req.getHeader("Origin"));

//        2、允许哪些请求方式
        resp.setHeader("Access-Control-Allow-Methods","get,post,OPTIONS");

//        3、请求头中包含
        resp.setHeader("Access-Control-Allow-Headers","token");

//        4、跨域是否允许携带cookie
        resp.setHeader("Access-Control-Allow-Credentials","true");

//        5、预检请求的时间间隔
        resp.setHeader("Access-Control-Max-Age","3600");

//        6、 可以向客户端浏览器暴露哪些请求头
        resp.setHeader("Access-Control-Expose-Headers", "token");

//        将请求交给目标资源
        filterChain.doFilter(req, resp);

跨域不能携带cookie和session会话跟踪。所以使用token。

四,Jwt(Token)

网址:https://jwt.io/

介绍:JWT就是一个带有用户信息的加密字符串。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。通常用于用户登录。

Jwt组成:Header(头部),Payload(载荷),Signature(签名)三部分组成,中间以点分隔。

 类库:进入官方-----libraries----Filterby(选择Java)-----自己选择下载

Token的使用:Maven项目
1,导入依赖(版本自己选择)
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.11.0</version>
</dependency>

2,编写工具类
/**
 * 用于生成和解析JWT
 */
public class JWTUtils {

    /**
     * 声明一个秘钥
     */
    private static final String SECRET = "leige";


    /**
     * 生成JWT
     *
     * @param userId   用户编号
     * @param username 用户名
     * @param auth     用户权限
     */
    public String createToken(Integer userId, String username, List<String> auth) {
        //得到当前的系统时间
        Date currentDate = new Date();
        //根据当前时间计算出过期时间 定死为5分钟
        Date expTime = new Date(currentDate.getTime() + (1000 * 60 * 5));
        //组装头数据
        Map<String, Object> header = new HashMap<>();
        header.put("alg", "HS256");
        header.put("typ", "JWT");
        return JWT.create()
                .withHeader(header) //头
                .withClaim("userId", userId) //自定义数据
                .withClaim("username", username) //自定义数据
                .withClaim("auth", auth) //自定义数据
                .withIssuedAt(currentDate) //创建时间
                .withExpiresAt(expTime)//过期时间
                .sign(Algorithm.HMAC256(SECRET));
    }

    /**
     * 验证JWT并解析
     *
     * @param token 要验证的jwt的字符串
     */
    public static Boolean verifyToken(String token) {
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            return true;
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return false;
    }

    /**
     * 获取JWT里面相前的用户编号
     */
    public Integer getUserId(String token){
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Claim userId = decodedJWT.getClaim("userId");
            return userId.asInt();
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return null;
    }
    /**
     * 获取JWT里面相前的用户名
     */
    public static String getUsername(String token){
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Claim username = decodedJWT.getClaim("username");
            return username.asString();
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return null;
    }
    /**
     * 获取JWT里面相前权限
     */
    public List<String> getAuth(String token){
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Claim auth = decodedJWT.getClaim("auth");
            return auth.asList(String.class);
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return null;
    }

}
3,用户登录的时候创建Token,放在响应头中。(使用原生的servletResponse)
@RequestMapping("/login")
    public R loginUsers(String uname, String upassword, HttpServletResponse resp) throws UnsupportedEncodingException {
        Users user = service.Userlogin(uname);
        if (!user.getUname().equals(uname)){
            return R.loginfail();
        }else if(!user.getUpassword().equals(upassword)){
            return R.fali("用户密码错误,请重新输入");
        }else {
            String token = TokenUtil.toToken();
            //响应token
            resp.setHeader("token",token);
            return R.sussce("登录成功");
        }
    }

4,写一个过滤器判断请求中是否存在token
存在则对Token进行校验。成功则放行,不成功则返回失败。
//        获取请求头中的token
        String token = req.getHeader("token");
//        token为空或校验失败
        if (token==null || !TokenUtil.validateJWT(token)){
//            没有登录
            PrintWriter out = resp.getWriter();
            ObjectMapper mapper = new ObjectMapper();

            out.write(mapper.writeValueAsString(R.loginfail()));
            out.close();
        }else {
//            放行
            filterChain.doFilter(req,resp);
        }

挺进的臭鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot-jwt-cors:Spring REST,JWT-身份验证和授权,CORS
05-16
弹簧靴jwt-cors Spring REST,JWT-身份验证和授权,CORS
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Cookie Session TokenJWT 解析
weixin_45898624的博客
06-25 1114
对登录功能的解析
后端分离
纸鸢栀年°的博客
08-31 1313
1,前后端分离 1.1 什么是前后端分离 ​ 前端: 即客户端,负责渲染用户显示界面【如web的js动态渲染页面, 安卓, IOS,pc客户端等】 ​ 后端:即服务器端,负责接收http请求,处理数据 ​ API:Application Programming Interface 是一些预先定义的函数,或指软件系统不同组成部分衔接的约定 ​ 前后端分离 完整请求过程 ​ 1,前端通过h...
JavaWeb】(血泪踩雷史...)Token登录前后端交互及跨域问题
wayne_lee_lwc的博客
04-14 2442
hello,我是卷卷毛,我又来啦, 咱们书接上回,上一节我们讨论了一种基于token验证方式的登录方案,文章在这里: 【JavaWeb】实现基于Token方式的用户登录 上节的内容,简单些说,就是介绍了一种实现用户登录的方式。 服务端在校验用户的账号密码信息无误后,为用户生成一串token作为口令返回给用户。之后,按照约定,用户在访问后端时将token添加在请求头中,发送给后端后端根据头部中的token信息校验用户的登录状况。 那么这一节,承接上回,我们要解决这一登录方案的前后端交互问题,焦点在于to
Token
kuyuguoheqi的博客
08-17 1309
而HTTP是无状态的协议。token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。· 数据存储大小不同:单个Cookie 保存的数据不能超过4K,一个站点最多保存20个Cookie ,Session对象没有对存储的数据量的限制,其中可以保存更为复杂的数据类型,根据服务器大小来定。...
跨域CORS)和JWT 详解
最新发布
weixin_64822448的博客
11-04 451
同源策略是一项浏览器安全特性,它限制了一个网页中的脚本如何与另一个来源(域名、协议、端口)的资源进行交互。JWT是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式来表示信息,用于在各方之间安全地传输信息。后端应用会验证JWT的签名,并根据令牌中的声明执行相应的操作。在Java中,您可以使用库如`jjwt`来生成JWT令牌。- JWT安全性:不要在JWT中存储敏感信息,限制令牌的生命周期。- 载荷包含声明,声明了一些实体(通常是用户)和一些数据。- 头部包含指定JWT的类型和所用的签名算法。
WEB安全(十七)跨域单点登录的实现
jinyangjie的博客
02-18 3709
单点登录的核心思路是客户端存储AuthToken,服务端存储登录信息。由于客户端将AuthToken存储在Cookie中,所以要解决Cookie的跨域读写问题。 回顾Cookie的路径(path)和域(domain) cookie路径 cookie 一般都是由于用户访问页面而被创建的,可是并不是只有在创建 cookie 的页面才可以访问这个cookie。在默认情况下,出于安全方面的考虑,只有与创建 cookie 的页面处于同一个目录或在创建cookie页面的子目录下的网页才可以访问。那么此时如果希望其父级或
axios请求,token,后端解决跨域
你还有我
04-06 2014
什么是Axios Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中。 官网 http://www.axios-js.com/zh-cn/docs/ Axios的优点 1支持发送ajax异步 2 支持在NodeJs中发送ajax请求 3 支持Promise 4 支持拦截器请求和响应 5 支持对请求和响应数据的转换 安装在服务端命令 npm install axios --save 案例:执行get请求 // 为给定 ID 的 user 创建请求 axi
JWT解决跨域问题详解
qq_53868937的博客
09-04 328
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!跨域问题的产生,源自浏览器的一个同源策略。
cors跨域问题对应的jar包.zip
08-19
在Tomcat中web.xml配置了跨域过滤后,发现Tomcat启动失败,最终发现是需要cors-filter和java-property-utils这两个jar包
详解Spring MVC CORS 跨域
08-30
本篇文章主要介绍了详解Spring MVC CORS 跨域 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cors跨域Tomcat文件
04-21
cors跨域Tomcat http://blog.csdn.net/itas109/article/details/70285802
GeoServer配置解决cors跨域问题的依赖jar包和配置说明.zip
05-12
1、将cors-filter-2.4.jar和java-property-utils-1.9.1.jar,两个jar包文件放入geoserver目录下webapps\geoserver\web-inf\lib中。 2、打开geoserver目录下webapps\geoserver\web-inf中的web.xml 3、添加过滤器...
Flask配置Cors跨域的实现
01-20
1 跨域的理解 跨域是指:浏览器A从服务器B获取的静态资源,包括Html、Css、Js,然后在Js中通过Ajax访问C服务器的静态资源或请求。即:浏览器A从B服务器拿的资源,资源中想访问服务器C的资源。 同源策略是指:浏览器...
CORS跨域访问框架jra包
11-15
CORS跨域访问框架jar包,具体配置方法非常简单,网上很多教程,
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
Springboot CORS跨域设置.md
03-25
Springboot CORS跨域设置
cors跨域
01-19
可解决WEB跨域问题,使用方法,访问博客:http://blog.csdn.net/sunhuwh/article/details/79106171
.net jwt 跨域
10-29
.net中使用JWT(JSON Web Token)实现跨域认证是一种常见的做法。跨域是指前端应用程序在一个域上发送请求,但请求的目标资源位于另一个域上,由于浏览器的同源策略,默认情况下是不允许跨域请求的。 在ASP.NET中,可以通过配置CORS策略以允许跨域请求。首先,在Web.config或应用程序的Startup.cs文件中添加CORS中间件,并允许特定的来源域或Http请求方法: ```csharp // Startup.cs public void ConfigureServices(IServiceCollection services) { services.AddCors(options => { options.AddPolicy("AllowCorsPolicy", builder => builder .AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader()); }); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseCors("AllowCorsPolicy"); //其他中间件配置 } ``` 然后,在控制器或API端点中,通过`Authorize`属性进行JWT认证: ```csharp // Controller.cs [Authorize] [ApiController] [Route("api/[controller]")] public class MyController : ControllerBase { // ... } ``` 这将确保只有带有有效JWT的请求才能访问该控制器的API。 此外,在生成JWT时,需要将适当的CORS头信息包含在令牌中: ```csharp // JwtGenerator.cs public string GenerateJwtToken() { var tokenHandler = new JwtSecurityTokenHandler(); var key = Encoding.ASCII.GetBytes("your_secret_key"); var tokenDescriptor = new SecurityTokenDescriptor { // 设置其他Jwt相关参数 Subject = new ClaimsIdentity(new Claim[] { new Claim(ClaimTypes.Name, "your_name") }), // 设置CORS Header = new JwtHeader(new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256)) { {"Access-Control-Allow-Origin", "your_origin_domain"} } }; var token = tokenHandler.CreateToken(tokenDescriptor); return tokenHandler.WriteToken(token); } ``` 通过在生成JWT时设置`Access-Control-Allow-Origin`头,将允许指定的域进行跨域请求。 总结而言,使用.net中的JWTCORS,可以实现安全的跨域认证。配置CORS策略以允许特定的跨域请求,并在生成JWT时设置适当的CORS头信息,以确保只有带有有效JWT的请求才能访问受保护的API。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值