Cors跨域和Jwt(Token)

已于 2023-08-08 18:47:18 修改
阅读量761 收藏 2
点赞数
文章标签: java 后端
于 2023-08-02 21:54:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyc158/article/details/132038699
版权
本文介绍了浏览器的同源策略,跨域问题的后端处理方法(如Nginx和CORS),以及如何在Java项目中使用JWTToken和编写Cors过滤器进行身份验证。详细讲解了如何在用户登录时生成Token并在请求中验证,确保安全的跨域通信。
摘要由CSDN通过智能技术生成

目录

一,浏览器的同源策略

1,同源与跨域

2,浏览器的同源策略

二,跨域处理方案(后端)

三,Cors过滤器

实现方法:①:实现Filter接口②:重写init,dofilter,destroy。③:dofilter中设置跨域配置

四,Jwt(Token)

Token的使用:Maven项目

1,导入依赖(版本自己选择)

2,编写工具类

3,用户登录的时候创建Token,放在响应头中。(使用原生的servletResponse)

4,写一个过滤器判断请求中是否存在token存在则对Token进行校验。成功则放行,不成功则返回失败。

一,浏览器的同源策略

1,同源与跨域

        url:  通讯协议://IP地址:端口号/资源路径
        两次请求的协议,ip,端口号都相同,我们认为两次请求的同源的
        否则,不同源,需要跨域(Cors)。

2,浏览器的同源策略

        浏览器发送请求,同源可以发送,不同源不能发送请求。(浏览器的安全机制)
        部分html标签支持跨域script,,a,link,img等

        但在项目中使用Ajax调用接口,默认是不能跨域的。
报错图片:

二,跨域处理方案(后端)

1,使用nginx服务器

2,Cors跨域资源共享,后端设置可以跨域。

三,Cors过滤器

跨域请求时复杂请求。
复杂请求跨域访问,会先发一次预检请求,请求方式时OPTIONS。
如果预检请求允许,发送真正的请求,不允许则控制台报错。

实现方法:
①:实现Filter接口
②:重写init,dofilter,destroy。
③:dofilter中设置跨域配置
 
HttpServletResponse  resp=(HttpServletResponse)servletResponse;
        HttpServletRequest  req=(HttpServletRequest)servletRequest;

        //设置cors:允许跨域访问

//        预检请求方式是:OPTIONS

//        1\允许哪些域可以访问我
        resp.setHeader("Access-Control-Allow-Origin","*");
//        resp.setHeader("Access-Control-Allow-Origin","http://localhost:8080");
//        resp.setHeader("Access-Control-Allow-Origin",req.getHeader("Origin"));

//        2、允许哪些请求方式
        resp.setHeader("Access-Control-Allow-Methods","get,post,OPTIONS");

//        3、请求头中包含
        resp.setHeader("Access-Control-Allow-Headers","token");

//        4、跨域是否允许携带cookie
        resp.setHeader("Access-Control-Allow-Credentials","true");

//        5、预检请求的时间间隔
        resp.setHeader("Access-Control-Max-Age","3600");

//        6、 可以向客户端浏览器暴露哪些请求头
        resp.setHeader("Access-Control-Expose-Headers", "token");

//        将请求交给目标资源
        filterChain.doFilter(req, resp);

跨域不能携带cookie和session会话跟踪。所以使用token。

四,Jwt(Token)

网址:https://jwt.io/

介绍:JWT就是一个带有用户信息的加密字符串。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。通常用于用户登录。

Jwt组成:Header(头部),Payload(载荷),Signature(签名)三部分组成,中间以点分隔。

 类库:进入官方-----libraries----Filterby(选择Java)-----自己选择下载

Token的使用:Maven项目
1,导入依赖(版本自己选择)
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.11.0</version>
</dependency>

2,编写工具类
/**
 * 用于生成和解析JWT
 */
public class JWTUtils {

    /**
     * 声明一个秘钥
     */
    private static final String SECRET = "leige";


    /**
     * 生成JWT
     *
     * @param userId   用户编号
     * @param username 用户名
     * @param auth     用户权限
     */
    public String createToken(Integer userId, String username, List<String> auth) {
        //得到当前的系统时间
        Date currentDate = new Date();
        //根据当前时间计算出过期时间 定死为5分钟
        Date expTime = new Date(currentDate.getTime() + (1000 * 60 * 5));
        //组装头数据
        Map<String, Object> header = new HashMap<>();
        header.put("alg", "HS256");
        header.put("typ", "JWT");
        return JWT.create()
                .withHeader(header) //头
                .withClaim("userId", userId) //自定义数据
                .withClaim("username", username) //自定义数据
                .withClaim("auth", auth) //自定义数据
                .withIssuedAt(currentDate) //创建时间
                .withExpiresAt(expTime)//过期时间
                .sign(Algorithm.HMAC256(SECRET));
    }

    /**
     * 验证JWT并解析
     *
     * @param token 要验证的jwt的字符串
     */
    public static Boolean verifyToken(String token) {
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            return true;
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return false;
    }

    /**
     * 获取JWT里面相前的用户编号
     */
    public Integer getUserId(String token){
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Claim userId = decodedJWT.getClaim("userId");
            return userId.asInt();
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return null;
    }
    /**
     * 获取JWT里面相前的用户名
     */
    public static String getUsername(String token){
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Claim username = decodedJWT.getClaim("username");
            return username.asString();
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return null;
    }
    /**
     * 获取JWT里面相前权限
     */
    public List<String> getAuth(String token){
        try{
            // 使用秘钥创建一个解析对象
            JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            //验证JWT
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Claim auth = decodedJWT.getClaim("auth");
            return auth.asList(String.class);
        }catch (TokenExpiredException e){
            e.printStackTrace();
        }
        return null;
    }

}
3,用户登录的时候创建Token,放在响应头中。(使用原生的servletResponse)
@RequestMapping("/login")
    public R loginUsers(String uname, String upassword, HttpServletResponse resp) throws UnsupportedEncodingException {
        Users user = service.Userlogin(uname);
        if (!user.getUname().equals(uname)){
            return R.loginfail();
        }else if(!user.getUpassword().equals(upassword)){
            return R.fali("用户密码错误,请重新输入");
        }else {
            String token = TokenUtil.toToken();
            //响应token
            resp.setHeader("token",token);
            return R.sussce("登录成功");
        }
    }

4,写一个过滤器判断请求中是否存在token
存在则对Token进行校验。成功则放行,不成功则返回失败。
//        获取请求头中的token
        String token = req.getHeader("token");
//        token为空或校验失败
        if (token==null || !TokenUtil.validateJWT(token)){
//            没有登录
            PrintWriter out = resp.getWriter();
            ObjectMapper mapper = new ObjectMapper();

            out.write(mapper.writeValueAsString(R.loginfail()));
            out.close();
        }else {
//            放行
            filterChain.doFilter(req,resp);
        }

挺进的臭鱼
关注
JavaWeb】(血泪踩雷史...)Token登录前后端交互及跨域问题
wayne_lee_lwc的博客
04-14 2671
hello,我是卷卷毛,我又来啦, 咱们书接上回,上一节我们讨论了一种基于token验证方式的登录方案,文章在这里: 【JavaWeb】实现基于Token方式的用户登录 上节的内容,简单些说,就是介绍了一种实现用户登录的方式。 服务端在校验用户的账号密码信息无误后,为用户生成一串token作为口令返回给用户。之后,按照约定,用户在访问后端时将token添加在请求头中,发送给后端后端根据头部中的token信息校验用户的登录状况。 那么这一节,承接上回,我们要解决这一登录方案的前后端交互问题,焦点在于to
Laravel Api实现JWT Token认证
m0_37742411的博客
11-18 3156
在开发Api时,处理客户端请求之前,需要对用户进行身份认证,Laravel框架默认为我们提供了一套用户认证体系,在进行web开发时,几乎不用添加修改任何代码,可直接使用,但在进行api开发时,需要我们自己去实现,并且Laravel框架默认提供的身份认证不是jwt的,需要在数据库中增加api_token字段,记录用户认证token并进行身份校验,如果需要使用jwt,无需添加字段,需要借助三方库来实现。 目录 Token认证原理 JWT概述 实现方法 Token认证原理 客户端发送认证信息
java 跨域 配置CorsFilter不生效原因
七濑武的博客
04-15 5195
java 跨域 配置CorsFilter不生效原因 项目中有多个Filter时,需要通过 @Order(Ordered.HIGHEST_PRECEDENCE) 注解设置过滤器的执行顺序 order的规则 1. order的值越小,优先级越高 2. order如果不标注数字,默认最低优先级,因为其默认值是int最大值 3. 该注解等同于实现Ordered接口getOrder方法,并返回数字。 如果使用如下注释掉的方法进行设置跨域,Filter的doFilter()方法中直接return出去时,前端会提示跨域
SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
【积累】,是一个长期持续的过程。
07-11 2477
JWT(全称JSONWebToken),在基于HTTP通信过程中,进行身份认证。
完整电商项目--(十一)后台管理项目(drf)(1):CORS跨域JWT
pythonstrat的博客
08-27 799
文章目录跨域CORS跨域资源共享)背景解决方案关于允许访问白名单:CORS_ALLOWED_ORIGINS允许互相访问cookie:CORS_ALLOW_CREDENTIALStoken机制流程1. 生成token2. 前端存储token字符串3.将token携带再请求当中,交由后端验证注意JWT(Json Web Token) 基于token的鉴权机制基本流程jwt的基本构成(1)headerpayloadsignaturesignature作用加密介绍 跨域CORS跨域资源共享) 背景 我们采用设
【Go】十三、TOKEN机制与跨域处理方式
最新发布
weixin_41365204的博客
06-13 1000
对于微服务场景来说,使用 cookie + session 来进行身份校验是一种不合适的做法,因为 生成的sessionid 是不存储任何信息的,这样我们如果要在其他模块中进行身份校验就是做不到的,例如:我们无法在商品模块中筛选出对应登录用户上传的商品,因为我们无法通过sessionid 知道当前登录的是哪个用户。由此,登录逻辑中产生了 TOKEN 的做法,TOKEN 中会携带一定的用户信息,这样即使不处于用户模块,也可以获取用户的相关信息 - 利用 TOKEN 中的用户信息去另外的模块进行查找。
如何解决前后端分离开发中,前端携带token跨域问题?
m0_63464979的博客
05-10 1167
前面自己在做项目的时候遇到了一个问题。 以前做项目的时候,前端也用的VSCODE,后端用的也是IDEA,因为没有用token,所以当时后端加了@CrossOrigin注解之后就再也没有没有出现跨域问题。前几天自己做项目的时候发现,尽管后端配置了跨域,但是前端如果携带token访问的话,还是会出现跨域不被运行的情况。
web api JWT token认证
04-24
"JWTToken.sln"可能是一个Visual Studio解决方案文件,包含了整个项目的配置和依赖。"packages"文件夹可能包含了项目所需的NuGet包,比如JWT相关的库。"Web"可能是Web API项目的主要源代码,其中可能有Startup.cs...
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 594
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。服务器向用户返回session_id,se...
JWT生成Token
风雨过后的博客
01-23 6225
什么是JWT       Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
spring-boot-jwt-cors:Spring REST,JWT-身份验证和授权,CORS
05-16
弹簧靴jwt-cors Spring REST,JWT-身份验证和授权,CORS
跨域CORS)和JWT 详解
weixin_64822448的博客
11-04 541
同源策略是一项浏览器安全特性,它限制了一个网页中的脚本如何与另一个来源(域名、协议、端口)的资源进行交互。JWT是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式来表示信息,用于在各方之间安全地传输信息。后端应用会验证JWT的签名,并根据令牌中的声明执行相应的操作。在Java中,您可以使用库如`jjwt`来生成JWT令牌。- JWT安全性:不要在JWT中存储敏感信息,限制令牌的生命周期。- 载荷包含声明,声明了一些实体(通常是用户)和一些数据。- 头部包含指定JWT的类型和所用的签名算法。
JSON Web Tokens - 跨域资源共享 (CORS)
你今天真好看呀
05-13 902
文章目录1. 什么是同源策略?2. 什么是同源?3. 什么是CORS?4. CORS功能概览5. 跨域资源共享的工作原理5.1 简单的请求5.2 预检请求6. HTTP 响应标头6.1 访问控制允许来源 Access-Control-Allow-Origin6.2 访问控制公开标头 Access-Control-Expose-Headers6.3 访问控制最大年龄 Access-Control-Max-Age6.4 访问控制允许凭据 Access-Control-Allow-Credentials6.5 访
认识JWT
anpinmao8082的博客
07-31 273
1. JSON Web Token是什么   JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorizat...
jwt json token跨域访问
Lee的程序空间
09-13 1302
引入jar包:// https://mvnrepository.com/artifact/com.thetransactioncompany/cors-filter compile group: 'com.thetransactioncompany', name: 'cors-filter', version: '2.2.1' // https://mvnrepository.com/art
跨域token 一直报错
qq_37593817的博客
04-23 778
token 我刚开始思路是 在vue 想办法 每个参数 都带上, 虽然思路没错 ,但是需要后端配合 开开门 你才能进去 @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletResponse
跨域】什么是 Token(令牌)?Token 和 Session、Jwt的区别? 常见的前后端鉴权方式?
Milk~每天分享一点点,技术进步一点点
08-17 1160
什么是 Token(令牌)? Acesss Token 访问资源接口(API)时所需要的资源凭证 简单 token 的组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串) 特点: 服务端无状态化、可扩展性好 支持移动端设备 安全 支持跨程序调用 token 的身份验证流程: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 token 并把这个 token
后端分离
纸鸢栀年°的博客
08-31 1441
1,前后端分离 1.1 什么是前后端分离 ​ 前端: 即客户端,负责渲染用户显示界面【如web的js动态渲染页面, 安卓, IOS,pc客户端等】 ​ 后端:即服务器端,负责接收http请求,处理数据 ​ API:Application Programming Interface 是一些预先定义的函数,或指软件系统不同组成部分衔接的约定 ​ 前后端分离 完整请求过程 ​ 1,前端通过h...
跨域问题以及携带token问题总结
热门推荐
han_xiao_xiao的博客
09-21 1万+
项目前后端分离,未上线时。前端所用的服务器与后端给的接口不同源,导致访问出现下图的情况: (同源就是协议,域名,端口一模一样;只要有一个不同就是不同源) 参考了很多文档视频,意思是解决起来两种办法: 第一,使用jsonp,就是通过script标签获取后端接口发送过来的数据通过js实现,原理建议参考2小时掌握前端9种跨域解决方案的第28分钟开始,有示例。 但是jsonp只能解决get请求,这也是它的一个缺点。而且也不安全。 第二,就是修改CORS跨域资源共享 相关设置。就是在服务器端配置好。 具体每一项的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值