【Spring&Vue学习】十五、JWT跨域认证

已于 2024-06-07 11:32:29 修改
阅读量958 收藏 13
点赞数 24
分类专栏: SpringBoot+Vue学习 1天搞定SpringBoot+Vue全栈开发 文章标签: spring vue.js 学习 后端 java 开发语言
于 2024-06-07 10:39:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48104181/article/details/139520547
版权

👉原文阅读

💡章前导言

本文为B站1天搞定SpringBoot+Vue全栈开发系列视频学习笔记,带时间戳的B站笔记(不含代码)已经施工完成,点击视频右下角的“笔记”按钮即可查看(不带B站时间戳的笔记专栏链接在这)。

有能力的朋友请多多支持up拿完整的课件代码!本笔记代码部分不全,纯手打(我手打是因为个人而言手打记忆才深刻)。

如果想要资料,老师的微信公众号有免费的课件和文档,关注“软件练习生”公众号回复“Java”获取课件资料(注意:关注回复关键字就可以,不会让你加群/微信的!)。

我自己整理的课件、代码等资料(不保证全),放在Github上了,需要的自取。
👉1天搞定SpringBoot+Vue全栈开发·个人整理资料

目录

📘正文开始

对应视频内容👉JWT跨域认证

Session认证

互联网服务离不开用户认证。一般流程是下面这样:

  1. 用户向服务器发送用户名和密码。

  2. 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等。

  3. 服务器向用户返回一个 session_id,写入用户的 Cookie。

  4. 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

  5. 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

session认证流程

session 认证的方式应用非常普遍,但也存在一些问题,扩展性不好,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session,针对此种问题一般有两种方案:

  1. 一种解决方案是session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。
  2. 一种方案是服务器不再保存 session 数据,所有数据都保存在客户端,每次请求都发回服务器。Token认证就是这种方案的一个代表。

Token认证

Token 是在服务端产生的一串字符串,是客户端访问资源接口(API)时所需要的资源凭证,流程如下:

  1. 客户端使用用户名跟密码请求登录,服务端收到请求,去验证用户名与密码
  2. 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端
  3. 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者localStorage 里
  4. 客户端每次向服务端请求资源的时候需要带着服务端签发的 token
  5. 服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据

token认证流程

Token认证的特点

  • 基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放token 数据。
  • 用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库
  • token 完全由应用管理,所以它可以避开同源策略

JWT的使用

JWT介绍

  • JSON Web Token(简称 JWT)是一个token的具体实现方式,是目前最流行的跨域认证解决方案。
  • JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,具体如下:
{
"姓名":"张三",
"角色":"管理员",
"到期时间":"2018年7月1日0点0分"
}
  • 用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。
  • 为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。

JWT的组成

JWT 的由三个部分组成,依次如下:

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

三部分最终组合为完整的字符串,中间使用 . 分隔,如下:

Header.Payload.Signature

JWT

Header

Header 部分是一个 JSON 对象,描述 JWT 的元数据

{
"alg":"HS256",
"typ":"JWT"
}

  1. alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成HS256)

  2. typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT

  3. 最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串

Payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。这个 JSON 对象也要使用 Base64URL 算法转成字符串。

  • iss(issuer):
  • exp(expiration time):
  • sub(subject):
  • aud(audience):
  • nbf(Not Before):
  • iat(Issued At):
  • jti(JWT ID):
🚩注意

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

Signature

Signature 部分是对前两部分的签名,防止数据篡改。

  1. 首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户
  2. 然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
	base64UrlEncode(header)+"."+
	base64UrlEncode(payload),
	secret)

JWT返回字符串

  • 算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

JWT返回用户的字符串

  • 客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在localStorage。
  • 客户端每次与服务器通信,都要带上这个 JWT,可以把它放在 Cookie 里面自动发送,但是这样不能跨域。
  • 更好的做法是放在 HTTP 请求的头信息Authorization字段里面,单独发送。

JWT的实现

加入依赖

<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
</dependency>

生成Token

// 7天过期
private static long expire = 604800;
// 32位密钥
private static String secret ="abcdfghiabcdfghiabcdfghiabcdfghi";

// 生成token
public static String generateToken(String username){
    Date now = new Date();
    Date expiration = new Date(now.getTime() + 1000 * expire);
    return Jwts.builder()
        	.setHeaderParam("type","JWT")
        	.setSubject(username)
        	.setIssuedAt(now)
        	.setExpiration(expiration)
        	.signWith(SignatureAlgorithm.HS512,secret)
        	.compact();
}

解析Token

// 解析token
public static Claims getClaimsByToken(String token){
    return Jwts.parser()
        		.setSigningKey(secret)
        		.parseClaimsJws(token)
        		.getBody();
}
sherriao
关注
  • 24
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
SpringBoot,Shiro,JWTVue & Ant Design 前后端分离权限管理系统
02-04
总的来说,这个系统利用SpringBoot作为后端基础框架,Shiro进行权限管理,JWT处理身份认证Vue.js构建用户交互界面,而Ant Design则提供了高质量的UI组件。这样的组合不仅实现了前后端分离,还确保了系统的安全性、...
Jwt跨域认证方案
weixin_63566741的博客
09-27 131
Token是在服务端产生的一串字符串,是客户端访问资源接口(API)时所需要的资源凭证,token认证的一般流程如下:
1天搞定SpringBoot+Vue全栈开发 (9)JWT跨域认证
l141930402的博客
05-24 245
1.Session认证 2.Token认证 3.JWT的使用
后端分离,使用vue3整合SpringSecurity加JWT实现登录认证
2301_78646673的博客
01-22 3350
前段时间写了一篇spring security的详细入门,但是没有联系实际。所以这次在真实的项目中来演示一下怎样使用springsecurity来实现我们最常用的登录校验。本次演示使用现在市面上最常见的开发方式,前后端分离开发。前端使用vue3进行构建,用到了element-plus组件库、axios封装、pinia状态管理、Router路由跳转等技术。后端还是spring boot整合springsecurity+JWT来实现登录校验。
vue+springboot实现JWT登录验证
xc9711的博客
04-08 1269
vue+springboot实现jwt登录验证,前后端逻辑皆给出
SpringBoot + Vue集成JWT实现登录认证
qq_50620084的博客
08-15 1429
SpringBoot+Vue集成jwt实现登录认证,包括后端请求校验和前端路由跳转校验。
springsecurity4+jwtvue.js+axios跨域问题
weixin_40109343的博客
11-20 335
后端springboot + spring security4 + JWT,前端用vue.js+axios发送post老是请求失败,在网上查了各种文章,问题最终解决。 1,首先在继承于WebSecurityConfigurerAdapter类的子类中(我的是WebSecurityConfig)设置cors属性。 package com.example.secur...
VUE+springboot跨域问题
LARRY11111的博客
03-23 408
之前解决了跨域问题,通过axios的封装,后端使用@CrossOrigin解决了跨域问题,但是今天再集成jwt的token拦截时由出现了跨域问题,和原来一样,通过模拟api工具直接发起可以收到,但是直接通过前端发起就会报错。这次决定从后端解决跨域问题,经过网上冲浪找了半天,又问了半天chat,最后试了下后端增加过滤器(感觉跟拦截器差别不大啊)。过滤器的主要功能就是给每一个接收到的请求增加支持跨域的请求头,之后便可以实现kuay 请求。增加这两个代码之后再次前端请求可以正常接收请求。
SpringBoot+Vue+SpringSecurity+JWT实现登录
weixin_43203735的博客
05-18 1623
后端代码:GitHub地址 Vue-Cli创建前端项目 前端项目目录结构 我们需要Login.vue和Home.vue组件,一个用于登录,一个用于登录成功之后的跳转。 我们需要封装一些函数,这些函数用于在前后端交互时请求与响应的拦截。定义api.js 我们还需要删除原有的组件,清除App.vue的内容(不能删除)。 引入Element-ui 参考element-ui官网 在main.js文件中引入Element-ui import ElementUI from 'element-ui'; import
亲测有效!SpringBoot项目采用JWT登录认证与保持,并解决跨域问题
weixin_45928161的博客
04-12 1342
在使用JWT实现认证时,需要将生成的token存储到前端,并在每次向后端发送请求时将token放入请求header中,这样后端才能识别该用户是否已登录以及是否有权限访问该接口。这段代码会在每次请求前检查localstorage中是否存在token,并将其添加到请求的header中。注意:为了避免XSS攻击,不要直接将token存储在localstorage中,可以考虑使用sessionStorage或者cookie等更加安全的存储方式。一步步跟着做就可以了。
Spring boot+vue3+element plus实现后台管理系统
07-04
后端分离项目,Spring boot作为后端vue框架实现前端,后端整合swagger3测试工具,jwt实现验证码生成,awt生成图形验证码,整合邮箱验证,使用mybatis-generator自动生成实体类以及mapper,设置有拦截器验证登录...
Spring Security使用中Preflight请求和跨域问题详解
08-28
跨域问题通常出现在前端(如React或Vue)和后端(如Spring Boot)之间,由于浏览器的同源策略,不同源的请求会被阻止,除非服务器明确允许。为了解决这个问题,开发者通常会在服务器端设置CORS策略,允许特定的跨域...
SpringBoot+Vue后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
springboot start.aliyun.com java8
JavaUpgrade
07-15 131
springboot 2.3.12.RELEASE alibaba cloud RDS alibaba cloud Redis alibaba cloud oss alibaba cloud sms alibaba cloud schedulerX spring cloud alibaba
Springboo3中使用虚线程
最新发布
java scala
07-19 195
Java中的虚线程类似Go中的协程,简单来说可以通过同步编程的方式来达到异步编程模式的效果,
springboot基于协同过滤算法的黔醉酒业白酒销售系统lw源码调试讲解
u014445459的博客
07-16 802
本章开始先是介绍了系统进行测试目的及方法,然后简单地阐述了系统测试中常见的黑命、白盒和灰盒测试方法,以及它们各自的特征,随后围绕本系统的注册登录、删除分类、修改密码、等功能进行了功能测试,并将测试用例和测试结果呈现出来,此外,还对实现的系统进行了关于登录和功能模块的压力测试。本系统开发之前的所有调研基本都是本人独立完成,需求设计,功能开发等也都是自己及指导老师的帮助下完成,通过自己的努力解决掉开发过程中所遇到的问题经济支出可以忽略不计,固黔醉酒业白酒销售系统在经济可行性上完全可行可以开发
手写简易版Spring IOC容器02【学习
weixin_44794897的博客
07-19 339
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
spring boot+ vue 权限管理
12-19
同时,可通过 JWT 来实现跨域认证和授权。 Spring Boot 和 Vue 都提供了很多现成的工具和库,可以很方便地实现权限管理的功能,开发人员只需按照官方文档进行配置和使用即可。因此,Spring Boot 和 Vue 是一个很好的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值