前后端分离项目---会话跟踪实现方案--前后端分离使用token拦截校验

最新推荐文章于 2024-07-06 18:49:37 发布
最新推荐文章于 2024-07-06 18:49:37 发布
阅读量2k 收藏 22
点赞数 2
分类专栏: Vue 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46979453/article/details/124221022
版权

目录

1、什么是localStorage和sessionStorage?

2、使用localStorage实现会话跟踪技术

        1、前端发起登录请求

        2、后端接受并处理请求

        3、配置前端前置拦截器

        4、后端配置拦截器

        5、配置前端后置拦截器

        会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。服务器需要用来识别请求是否来自同一个浏览器 服务器用来识别浏览器的过程,这个过程就是会话跟踪 服务器识别浏览器后就可以在同一个会话中多次请求之间来共享数据。

1、什么是localStorage和sessionStorage?

        这两是web Storage 的其中两个,是HTML 5引入的一个重要的功能,在前端开发的过程中会经常用到,它可以在客户端本地存储数据,类似cookie,但其功能却比cookie强大的多。cookie的大小只有4Kb左右(浏览器不同,大小也不同),而web Storage的大小有5MB。

localStorage和sessionStorage都是保存在浏览器中,它们最主要的区别是:

生命周期不同:sessionStorage类似于session作用域为一次会话(从打开浏览器到关闭浏览器)

localStorage类似于cookie持久化存储在本地。

1、localStorage创建存储数据后,除非手动删除数据,不然都会一直存储在浏览器中

2、sessionStorage创建存储数据后,页面刷新、同源打开其他页面,代码跳转能够访问到当前的

3、seesionStorage。如果关闭浏览器,sessionStorage就会消失。实际上我们可以理解成一种会话机制。

提供的方法有以下几种:

  • setItem(key,value):设置storage中的键值对,存储值
  • getItem(key):获取storage中的键值对
  • removeItem(key):删除storage中的键值对
  • clear():清楚storage中的内容

        可以将对象以JSON字符串的格式存储在Storage中,可以使用JSON.stringify();将对象转化为JSON字符串。需要使用storage中的值的时候先使用getItem(key)来获取storage中的JSON字符串,然使用JSON.parse();将JSON字符串解析为json对象,这样就可以获取对象中的值了。

2、使用localStorage实现会话跟踪技术

登录流程:

    1、首次登录时,后端服务器判断用户账号密码正确之后,根据用户id、用户名、定义好的秘钥、过期时间生成 token ,返回给前端;
    2、前端拿到后端返回的 token ,存储在浏览器的localStorage 里;
    3、前端每次路由跳转,判断 localStorage 有无 token ,没有则跳转到登录页,有则请求获取用户信息,改变登录状态;
    4、每次请求接口,在 Axios 请求头里携带 token;
    5、后端接口判断请求头有无 token,没有或者 token 过期,返回标记信息;前端得到标记信息,重定向到登录页面;

1、前端发起登录请求

login(){
				let para={"username":this.name,"password":this.password};
                this.$http.post("/user/login",para).then((res)=> {
                    let {success,msg,result}=res.data;
                    if(!success){//登录失败
                        this.errorMsg=msg;
                    }else {//登录成功
                        this.errorMsg="";//清空errormsg
                        //获取登录用户
                        let loginUser=result.loginUser;
                        let  token=result.token;
                        //保存到浏览器
                        localStorage.setItem("token",token)
                        localStorage.setItem("loginUser",JSON.stringify(loginUser))
                        location.href="index.html";
                        console.debug(loginUser,token);
                    }
                });
                },

        登录成功后,将后端返回的token和loginUser存储在localStorage中。

2、后端接受并处理请求

        后端生成一个token字符串作为key值,将登录的user转为json字符串作为value值。存储在redis服务器中,有效期30分钟,然后将这两个值返回给前端。前端接收到,使用localStorage保存到浏览器。

controller层:

   /**
     * 通过邮箱或者手机号登陆
     * @return
     */
    @PostMapping("/login")
    public AjaxResult login(@RequestBody User user){
        try {
            //通过用户名和密码查询并进行校验
            AjaxResult ajaresult = userService.login(user);
            //校验通过
            if(ajaresult.getSuccess()) {
                //通过用户名查找user
                User loginuser = userService.loadByUsername(user.getUsername());
                //随机产生redis的key值 
                String token = UUID.randomUUID().toString();
                //将loginuser转化为json字符串 存入redis    有效期30分钟
                RedisUtils.INSTANCE.set(token, JSONObject.toJSONString(loginuser),30*60);
                Map<String,Object> map=new HashMap<>();
                //把token存储起来
                map.put("token",token);
                //把对象存储起来 
                map.put("loginUser",loginuser);
                //把token和loginUser存储起来返回到前端
                return new AjaxResult().setResult(map);
            }
            //为通过校验直接返回
            return ajaresult;
        } catch (Exception e) {
            e.printStackTrace();
            return new AjaxResult(false,e.getMessage());
        }
    }

Service层: 

    /**
     * 通过邮箱或者手机号的的登录
     * @param user
     * @return
     */
    @Override
    public AjaxResult login(User user){
        if (StringUtils.isBlank(user.getUsername())||StringUtils.isBlank(user.getPassword()))
            return new AjaxResult(false,"请输入用户名和密码!!");
        //通过用户名查询用户 查询到之后获取用户盐值
        User byusername = userMapper.loadByUsername(user.getUsername());
        if(byusername==null)
            return new AjaxResult(false,"用户名错误!!");

        //获取通过md5盐值加密的密码
        String s = MD5Utils.encrypByMd5(user.getPassword()+byusername.getSalt());
        user.setPassword(s);
        User loginu = userMapper.login(user);
        if(loginu==null)
            return new AjaxResult(false,"密码错误!!");
        if(loginu.getState()==UserConstant.DISABLED)//用户未激活
            return new AjaxResult(false,"用户未激活,请激活用户后登录!!");
        return  new AjaxResult();
    }

3、配置前端前置拦截器

        接下来,前端每次发送请求都要携带这个token值,需要判断通过是否存在token判断用户是否登录之前使用cookie发起请求时是会自动携带所有cookie信息。

        在前端页面加一个前置拦截器,就是发送任何请求前先执行这个前端拦截器函数,这里面主要从localStorage里获取token值,然后将其添加到请求头信息里 .每次发起请求 请求头中都会包含U-TOKEN 这个信息。

        在common.js中配置:

//前置拦截器
//给axios请求添加一个前置拦截器   每次发起请求都先执行下面这个函数
//1 使用axios前置拦截器,让所有的请求都携带uToken
axios.interceptors.request.use(config=>{
    //携带token
    let uToken =  localStorage.getItem("token");
    if(uToken){//如果token有值  我就在请求头信息里添加一个教U-TOKEN的值
        config.headers['U-TOKEN']=uToken;
    }
    return config;
},error => {
    Promise.reject(error);
})

4、后端配置拦截器

自定义拦截器LoginInterceptor:

package com.rk.pethome.user.interceptor;
import com.rk.pethome.basic.util.RedisUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 登录拦截器
 */
@Component
public class LoginInterceptor  implements HandlerInterceptor{

    //前置拦截
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        //1 放行 /login /logout /dfs /user/phoneRegister
        String uri = request.getRequestURI();
        System.out.println(uri);

      /* if (CollectUtils.contain(uri, Arrays
                .asList("/user/login","/logout","/dfs","/user/phoneRegister")))
            return true;*/
        // 2 拦截处理
        //2.1 判断请求头里面是否携带U-TOKEN A-TOKEN,如果没有携带返回没有用户的错误
        String uToken = request.getHeader("U-TOKEN");
        //用户没有登录
        if(StringUtils.isBlank(uToken)){
            writeNoUserError(response,"noUser");
            return false;
        }
        //2.2 判断redis中是否可以获取U-TOKEN A-TOKEN,如果获取不到没有用户的错误
        String user = RedisUtils.INSTANCE.get(uToken);
        //登录的用户已经过期了
        if( StringUtils.isBlank(user)){
            writeNoUserError(response,"expireUser");
            return false;
        }
        //如果没有过期,刷新一下过期时间
        //2.2.1 刷新session过期-redis里面的一个值
        RedisUtils.INSTANCE.set(uToken,user,30*60);
        return true;
    }

    /**
     *  {"success":false,"message":"noUser"}
     * response.getWriter().write("{'success':false,messge:noUser}");
     * @param response
     */
    private void writeNoUserError(HttpServletResponse response,String message) {
        PrintWriter writer = null;
        try {
            response.setCharacterEncoding("utf-8"); //返回编码格式
            response.setContentType("application/json; charset=utf-8"); // json方式放回
            writer = response.getWriter();
            writer.write("{\"success\":false,\"message\":"+"\""+message+"\""+"}");
        } catch (IOException e) {
            e.printStackTrace();
        }finally {
            if (writer != null) {
                writer.close();
            }
        }
    }
}

添加配置ItsourceWebMvcConfigurer:

/user/*路径下的请求放行

@Configuration
public class ItsourceWebMvcConfigurer implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    /*
            /* :拦截所有的请求,请求只有一级
            /** :拦截所有的请求    可以拦截多级请求

     */
    //添加拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor).addPathPatterns("/**")
                .excludePathPatterns("/user/*");
    }
}

        此时请求到了(/user/login请求不会被拦截)后端拦截器,拦截器首先从请求头获取token值,如果为空,说明未登录,拦截请求并且返回{success:false,message:noUser}。
如果获取到token值,说明用户登录过,因为存储在前端localStorage的值是短时间内不会过期,除非手动清空缓存。但是保存在redis的该用户只在30分钟内有效。也就是常见的登录到一个页面长时间过后需要再次登录。此时根据前端传过来的token去redis服务器中获取值,如果没有获取到值,说明登录已过期。就拦截请求并且返回{success:false,message:expireUser}。如果获取到了值,就将token和获取到的value值(上次登录的用户)再次存储到redis服务器,刷新过期时间。

 5、配置前端后置拦截器

        在conmmon.js中:

//后置拦截器
//2 使用axios后置拦截器,处理没有登录请求
axios.interceptors.response.use(result=>{
    let data = result.data;
    console.debug(data)
    console.log(data.success);
    console.log(data.message);
    //用户没有登录
    if(!data.success && data.message==="noUser") {
        alert("用户未登录!");
        location.href = "/login.html";
    }

    //后台redis用户过期了  清空localStorage里面的值
    if(!data.success&&data.message==="expireUser"){
        alert("登录已过期!");
        localStorage.removeItem("token");
        localStorage.removeItem("loginUser");
        location.href = "/login.html";
        return;

    }
    return result;
},error => {
    Promise.reject(error);
})

        请求返回后,前端界面再配置一个后置拦截器,所有返回值都会先经过这个后置拦截器。拦截器判断success和message   如果是false和noUser就说明用户未登录,就跳转到登录界面。接下来再判断message的值是否是expireUser,如果是则  登录的用户已过期,就清空localStorage里面存储的数据,然后跳转到登录界面。如果用户已登录并且未过期,则将后端返回的result返回给前端调用接口的函数。 

Rk..
关注
专栏目录
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
在本项目中,我们将探讨如何利用Spring Boot、JWT(JSON Web Token)、Spring Security和Redis来实现一个高效的登录拦截和权限认证系统,同时实现全局异常处理和统一的API返回风格。 1. **Spring Boot**:Spring ...
【Vuex】前后端分离Vue路由拦截器与登录cookie保存
NineWaited的博客
03-16 5528
前后端分离,后端springboot拦截拦截非权限API不适用 前端vue使用vuex能使用vue的router的自我守卫和拦截
前后端分离下的token机制
qq_42109746的博客
06-01 9608
一、 什么是token ? Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 二、token 的适用场景 登录: 业务请求: Token 过期,刷新 Token: 三、token使用 1.创建:token 的实质其实就是一个...
sa-token前后端分离解决跨域的正确姿势
最新发布
qq_34905631的博客
07-06 1672
由于最近写了一个项目,前端使用vue,后端使用的是Java,集成国产sa-token(一个轻量级 java 权限认证框架,让鉴权变得简单、优雅!sa-token官网提供的解决跨域的方法如下;上面的方式都只可以参考,但是实际上实践下来都失效了,配置了没有用,项目使用springBoot版本是:2.3.12.RELEASE,spring版本是5.2.15.RELEASE,这个跨域真是一个蛋疼的问题,网上各种文章看然后各种姿势去尝试,没有一个是可以的,最后经过各种尝试,终于找到了一个可行的姿势。
vue使用localStorage存储token
jinann0的博客
12-12 6914
vue中可以使用localStorage方式和sessionStorage方式来存储数据,现在描写的就是运用localStorage把登录时获取到的token存储到浏览器中
前后端分离实现登录拦截
wistchen
09-20 4069
一.认证方案 1.Session 利用Session我们可以管理用户状态: 服务器接受第一个请求时候,生成session对象,并通过响应头告诉客户端在cookie中放入sessionId 客户端之后发送请求时,会带上包含sessionId的cookie 服务器通过sessionId获取session,进而得到当前的状态 每次客户端访问服务端带上sessionId即可 2.客户端存储方案 特性 cookie localStorage sessionStorage 生命周期 一般由服务器生成
SpringBoot之WebMvcConfigurer详解
路漫漫其修远兮,吾将上下而求索
07-28 1981
WebMvcConfigurer配置类其实是Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件形式,针对框架个性化定制,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。基于java-based方式的spring mvc配置,需要创建一个配置类并实现WebMvcConfigurer接口。在Spring Boot 1.5版本都是靠重写的方法来添加自定义拦截器,消息转换器等。
Sa-Token权限认证框架 v1.37.0.zip
03-27
5. **拦截器机制**:通过SsoFilter或SsoInterceptor实现请求的拦截,进行权限校验,确保只有合法用户才能访问受保护的资源。 6. **权限注解**:支持在方法或类上使用@SPermission、@SRole等注解,实现代码级别的...
SpringBoot+Vue 前后端分离的RBAC权限管理系统.zip
02-24
在本系统中,Spring Security用于处理用户的登录、权限校验拦截无权限访问等安全问题,提供了一套完整的安全解决方案。 6. **RESTful API设计** 前后端分离的系统中,接口设计尤为重要。本系统遵循RESTful原则,...
Sa-Token权限认证框架 v1.35.0.zip
10-03
在实际项目中,通过阅读sa-token-v1.35.0源码,开发者可以深入理解其实现原理,更好地利用其特性来定制符合项目需求的权限认证方案。同时,不断关注Sa-Token的新版本更新,以便及时获取最新的特性和改进,保持系统的...
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统.zip
05-30
实现前后端分离,使得前端与后端能够独立开发和部署,提高了开发效率和系统的可维护性。 【知识点详解】 1. SpringBoot: - **核心特性**:SpringBoot简化了Spring应用的初始搭建以及开发过程,通过自动配置...
一看就懂!基于Springboot 拦截器的前后端分离式登录拦截
热门推荐
大誌的博客
04-01 2万+
之前写过一篇关于Springboot+Shiro实现前后端分离的权限管理系统。但是由于使用了框架,对于一些小系统,实在用不上Shiro,而且还要加上学习成本。今天就来用原生的Spring技术实现登录拦截前后端分离实现前后端分离,需要考虑以下2个问题: 1. 项目不再基于session了,如何知道访问者是谁? 2. 如何确认访问者的权限? 前后端分离,一般都是通过token实现,本项目也是...
前后端分离式交互
m0_62565675的博客
12-14 1万+
前言现在前端和后端已经完全分离,本篇文章会从javaEE环境的安装一直到会话跟踪结束,搭建一个学生管理系统的登录需求,实现前后端的基本交互。
如何将token放到localStorage中
lh155136的博客
08-09 6287
设置localStorage 调用后端登录接口,后端会返回一个token,将token放到localStorage中 // 在localStorage存储token window.localStorage.setItem("token",后端返回的token); 获取localStorage中的token window.localStorage.getItem("token") .........
Java Web项目问题总结:前后端分离的时候怎么保存登录信息、拦截器和过滤器的区别
m0_46378271的博客
04-26 1751
一、前后端分离的时候怎么保存登录信息 有两种方式: 1.1 老方式,后台session方式: 首次登录把密码用户名传后台。后台先判断是否正确,正确的话后台也会给cookie里写入密码,用户名和 sessionId。以后每请求都会带sessionId,后台就知道这是登录状态。cookie里的用户名,密码的保存时效后台就可以设置,也就是自动登录能保持多久。 这种老方式,前端不用干什么工作。 1.2 新方式,前端token方式: 首次登录把密码用户名传后台。后台先判断是否正确,正确的话后台也会给前端返回一个tok
Token的存储方式
qq_44675204的博客
08-11 3999
Token: 访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求中携带,作为凭证。 Token在客户端的存储主要有: 1、localStroage、sessionStroage,二者主要区别在于,关闭浏览器sessionStroage会被清除,但localStroage不会。将Token存于Web Stroage会导致容易受到XSS攻击,因为Web Stroage作为一种存储机制,在传输过程中不会执行任何安全标准,所以要
简单前后端分离token验证流程
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
Java 前后端分离项目如何传递token验证
Smile_CET4的博客
11-22 674
我们在写前后端分离的java项目中经常遇到需要token校验请求是否有效,所以当登录验证将token返回给前端后接下来的一些接口就需要将这个token重新传给后端进行校验
token前后端分离的应用(不包含分布式)
weixin_59766629的博客
11-09 126
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。官网:jwt的结构Header。
hutool jwt 生成token
07-27
使用hutool生成jwt token,你需要在项目中引入hutool-all的依赖。具体的依赖配置如下所示: ```xml <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.7.13</version> </dependency> ``` 在登录接口中,如果账号密码校验成功,你可以使用用户id和用户类型创建jwt token,并将其设置为永不过期。然后,你可以更新登录日期,并将其作为一个值(B)存储在redis中,以便后续验证。在登录结果中,你可以返回一个json格式的响应,其中包含"result"为"success","token"为A的键值对。用户在接口请求header中携带token进行登录,后端可以通过拦截器解析token,获取userId和用户类型。如果解析失败,则返回一个json响应,表示Token验证不通过。如果解析成功,后端可以验证redis中的缓存key是否存在。如果不存在,则返回一个json响应,表示会话过期请重新登录。如果缓存key存在,则可以自动续7天的超时时间,以实现频繁登录用户的免登陆功能。在接口方法中,你可以直接获取登录用户的信息,将userId和用户类型放入request参数中。如果用户修改密码或退出登录,你可以废除access_tokens,即删除对应的缓存key。\[2\] 请注意,以上是一个大致的流程,具体实现可能会根据你的项目需求有所不同。 #### 引用[.reference_title] - *1* [利用hutool生成和验证JWT的示例](https://blog.csdn.net/qq125281823/article/details/120960181)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [JWT生成token及过期和自动续期](https://blog.csdn.net/jq1223/article/details/114580020)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rk..

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值