SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析

已于 2023-01-02 19:06:52 修改
阅读量1.1k 收藏 6
点赞数
分类专栏: SpringSecurity 文章标签: spring
于 2022-07-18 23:22:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61784000/article/details/125861682
版权

目录

前言:

测试:

分为两次请求

1.第一个请求就是类似于前端请求一个登录SpringSecurity内置验证的安全登录中心

​编辑2.第二个请求就是在第一个请求成功的基础上进行请求的

流程分析【重点】:

 第一个请求的流程:

具体步骤:

 第二个请求的流程:

第二个请求的前提:

具体步骤:

 对两次请求的总结:

 为什么要这样做?

前言:

本文的测试以及流程分析,都是针对于第一部分编码部分所开展的分析与总结。之后我也会发布一

个合集来方便需要学习的朋友进行查看。

测试:

我们测试时,采用的是postman充当客户端进行测试。

 先进行启动:

分为两次请求

1.第一个请求就是类似于前端请求一个登录SpringSecurity内置验证的安全登录中心

解析如下:

为的是获取到请求服务端中我们进行配置的Controller接口的权限。如果这个登录都验证不过去,那么就没有权限去进行请求之后的

Controller中配置的接口资源

我们对于SpringSecurity内置的安全登录,是可以进行自定义配置请求地址的:我们这里配置的是/doLogin。如图:在配置类中进行配置的

我们对于SpringSecurity内置的安全登录,是可以进行自定义配置可成功登录该内置登录中心的成员用户信息,我们这里配置的是:

用户名:mxy 密码:123以及所拥有的权限集合

2.第二个请求就是在第一个请求成功的基础上进行请求的

第二个请求就是对后端服务器中的Controller类中的接口对应的资源进行的请求。

当第一个请求执行成功之后,说明SpringSecurity登录验证已经成功 。

说明可以继续请求后端资源接口。

第一个请求之后,我们就会获取一个JWT。这个JWT中就包含着我们的用户信息。然后我们就把这个JWT配置给Headers中的Authorization。

流程分析【重点】:

 第一个请求的流程:

首先我们使用postman进行请求我们自定义设置的SpringSecurity安全登录验证的接口doLogin

并且配置请求url的携带参数。参数为登录的用户名以及密码 !

具体步骤:

 1.无论什么请求都会先进行经过过滤器

 2.但是由于这是security的登录验证请求,其中并没有token,所以我们直接通过过滤器中的解析JWT的过程。

3. 跳过过滤器之后,我们会进行验证security登录。此时我们要进行判断,postman发送的请求url

中携带的用户名以及密码参数是否在我们自定义的用户中

我们自定义的用户为 :用户名为mxy ,密码为123

 4.如果登录失败:会进入到我们登录失败的处理器中进行处理

 5.如果登录成功:同理会跳转到登录成功处理器进行处理操作:

登录成功处理器,最后会把用户信息进行设置给JWT中。

然后把JWT设置给access_token。并且设置过期时间,以及token的类型为bearer

 设置完成之后进行使用流进行写出 其中还使用到了转化。

 我们通过流写出响应给客户端浏览器的数据对应的格式为JSON,编码为Utf-8

 6.结束之后,postman(客户端)上会显示服务端响应回来的数据,该数据为Json格式

这些数据就是我们上边利用PrintWriter打印流进行写出的:

 第二个请求的流程:

首先第二个请求就是对后端服务器中的Controller类中的接口对应的资源进行的请求。

当第一个请求执行成功之后,说明SpringSecurity登录验证已经成功 说明可以继续请求后端资源接口。

第二个请求的前提:

(1)第一个请求成功

(2)携带第一个请求之后返回的access_token。这个access_token其实就是JWT。我们把这个JWT

设置给Authorization。格式为 :bear+空格+JWT

具体步骤:

 1.这个请求首先会被过滤器进行拦截

2.过滤器发现这个用户已经成功进行了security验证登录。那么当该用户进行这一次请求的时候,

肯定会携带一个access_token。这个东西就是JWT。JWT中封装的就是我们用户的信息 !

所以说:过滤器的作用就是继续解析这个JWT。

3.解析完成之后,再进行封装设置。

 对两次请求的总结:

当第一次请求时,客户端postman携带想要进行登录的用户信息,服务端接收请求,然后进行登录

验证。登录验证成功之后,也就是第一次请求之后,服务端想要写出响应给客户端浏览器用户信息

(即是JWT),但是服务端会把JWT封装叫做access_token进行真正响应给客户端。

所以其实JWT=access_token。

第一次请求之后,客户端具有了已经登录用户的信息 即是access_token。

当第二次请求发出时,客户端postman把第一次请求获取到access_token中JWT数据进行设置给

第二次请求的Header字段中Authorization。第二次请求进行发出,此时过滤器进行拦截到然后进行

对这个Authorization字段进行解析。解析得到的是用户信息,此时对于第二次请求到达服务端而言

我们已经具有了该用户的信息。我们可以通过该用户的信息进行检验是否该用户已经完成了

security登录验证。如果完成了,那么就可以接着进行下一步对后端服务器资源的请求。所以说,

当第二次请求完成了过滤器对其JWT的解析之后,后端服务器就已经获取到了这个用户对应的信

息。所以当我们进行分为后端服务器资源的时候,我们会进行权限判断,此时由于我们第二次请求

中的过滤之后,我们已经把解析之后的JWT的数据 即是用户信息的数据设置给了

所以说,我们就可以进行判断是否该服务端Controller的接口是否具有用户权限进行访问 

 为什么要这样做?

因为在微服务的项目中,我们可以是多个服务端。所以说,我们一个用户信息保证完成一次

security登录验证之后,我们就可以在所有服务端进行请求资源的权力。

etcEriksen
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你如何使用Spring Security(中):接口认证
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-28 2600
在上篇文章我们配置了如何登录,以及登录后获取JWT令牌,但是对于普通的请求依然无法访问,原因是我们并没有去校验令牌认证请求的合法性,这一篇就来说说请求的认证
一文搞懂SpringSecurity+JWT前后分离~
weixin_45647685的博客
04-27 1万+
1、简介 SpringSecurity属于Spring家族中的一款安全管理框架,,它提供了一套Web应用安全性的完整解决方案。主要的功能是认证授权。 **认证 *验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。 **授权 *经过认证后判断当前用户是否有权限进行某个操作。 2、快速入门 2.1、创建一个SpringBoot工程 1、先创建一个最基本的SpringBoot工程,配置好相关数据库,并且编写一个Controller进行测试。 ① 导入依赖 ...
前后分离,使用vue3整合SpringSecurityJWT实现登录认证
2301_78646673的博客
01-22 3151
前段时间写了一篇spring security的详细入门,但是没有联系实际。所以这次在真实的项目中来演示一下怎样使用springsecurity实现我们最常用的登录校验。本次演示使用现在市面上最常见的开发方式,前后分离开发。前使用vue3进行构建,用到了element-plus组件库、axios封装、pinia状态管理、Router路由跳转等技术。后还是spring boot整合springsecurity+JWT实现登录校验。
基于SpringSecurity 的登录详解(前后分离
qq_45784240的博客
08-06 4515
前后分离登录:JWT单点登录
Spring Security框架 前后分离
asddasddeedd的博客
11-19 3283
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
【深入浅出 Spring Security(十三)】使用 JWT 进行前后分离认证(附源码)
qq_63691275的博客
07-07 3622
使用JWT进行前后分离认证实现,其后主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前?——在AuthenticationSuccessHandler中进行实现;第二步就是前携带该 jwt 向服务器发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
流行框架+SpringSecurity+jwt+redis+Vue的前后分离的商城系统项目.zip
10-28
这是一个基于流行技术栈构建的前后分离的商城系统项目,主要使用了SpringBoot、SpringSecurityJWT(Json Web Token)和Redis,同时前采用了Vue.js框架。以下将详细阐述这些技术及其在项目中的应用。 首先,...
SpringBoot_SpringSecurity_JWT_RBAC:前后分离,基于 JWT、RBAC 的登录拦截设计
05-01
SpringSecurity_JWT_RBAC"中,开发者使用了现代Web应用程序开发中的几个关键组件,包括Spring Boot、Spring Security以及JSON Web Token(JWT)和Role-Based Access Control(RBAC)来实现一个安全的前后分离的...
基于 SpringBoot、Spring Security、JWT 的前后分离权限管理系统.zip
08-05
Spring Security是Spring生态中用于安全控制的强大框架,可以实现用户认证授权等功能。 1. 认证:处理用户登录,验证用户名和密码,通常使用AuthenticationProvider接口进行自定义实现。 2. 授权:控制用户访问...
springcloud + 前后分离实现 Oauth2
04-07
综上所述,"Spring Cloud + 前后分离实现OAuth2"涉及到的关键技术包括Spring Cloud、Spring Security OAuth2、用户认证授权流程JWT和安全策略。在实现过程中,我们需要考虑如何有效地结合这些技术,构建一个...
springboot集成jwt和shiro实现前后分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
vueJS springboot 前后台分离 jwt
11-21
前后分离架构,前vueJS,后springboot微服务,token基于jwt加密技术,跨域访问后服务,结合实例,整合的一个简单的demo
SpringBoot+SpringSecurity+Vue+Jwt整合的小dome.rar
09-17
这是一个基于Java技术栈的Web应用开发项目,使用了SpringBoot、SpringSecurity、Vue.js和JWT(JSON Web Token)等核心技术。下面将详细讲解这些技术及其整合应用中的关键知识点。 **SpringBoot** SpringBoot是由...
SpringbootSecurity登陆验证(前后分离)
weixin_68193389的博客
11-09 789
从前页面输入账号向后发送跨域请求,后接受参数验证是否在数据库中存在,如果存在就去把用户在数据库中的角色权限和资源权限查出来,保存在Security中.登陆成功后就把用户的信息用JWTUtil.createToken()方法生成token,返回给前,前拿到token,前再次向后发起请求时携带token,后识别,如果正确的话就放行,不正确就访问失败。
【SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2163
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
(十三)springboot实战——springboot前后分离方式项目集成spring securtity安全框架
最新发布
厉害哥哥的博客
02-06 1846
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
Spring Security + JWT基础整合
weixin_45565886的博客
02-08 1393
Spring Security + JWT基础整合
【spring-security基础】JWT前后分离方案
東₂₀₂₃²⁰²³
02-05 2959
springboot+security + jwt方案,以满足前后分离场景下的认证及鉴权(支持分布式)
Spring Security整合JWT实现前后分离认证和权限管理(超详细)
热门推荐
mengxianglong123的博客
01-11 1万+
核心步骤 创建项目 配置pom.xml 在配置文件中写入jwt相关配置,并创建JWT的配置类,使用@ConfigurationProperties(prefix = “jwt”)与配置文件关联起来 创建自己的用户类 创建自己的认证失败类 创建自己的权限不足类 创建自己的认证成功处理类 创建自己的UserDetailsService 创建JWT工具类 创建自定义的Token过滤器 创建自己的Spring Secrity配置类(将之前的自定义的配置全部设置进去) 一、创建项目 默认创建Spring B
springboot+vue前后分离 + security + JWT 实现token登录
04-04
Spring Boot和Vue.js是两个非常流行的技术栈,可以非常好地实现前后分离的开发模式。Security和JWT是两个很好的工具,可以帮助我们实现安全的登录和授权机制。 以下是实现Spring Boot和Vue.js前后分离的步骤: 1.创建Spring Boot工程 首先,我们需要创建一个Spring Boot工程,可以使用Spring Initializr来生成一个基本的Maven项目,添加所需的依赖项,包括Spring Security和JWT。 2.配置Spring Security 在Spring Security中,我们需要定义一个安全配置类,该类将定义我们的安全策略和JWT的配置。在这里,我们可以使用注解来定义我们的安全策略,如@PreAuthorize和@Secured。 3.实现JWT JWT是一种基于令牌的身份验证机制,它使用JSON Web Token来传递安全信息。在我们的应用程序中,我们需要实现JWT的生成和验证机制,以便我们可以安全地登录和授权。 4.配置Vue.js 在Vue.js中,我们需要创建一个Vue.js项目,并使用Vue CLI来安装和配置我们的项目。我们需要使用Vue Router来定义我们的路由,并使用Axios来发送HTTP请求。 5.实现登录和授权 最后,我们需要实现登录和授权机制,以便用户可以安全地登录和访问我们的应用程序。在Vue.js中,我们可以使用Vue Router和Axios来发送HTTP请求,并在Spring Boot中使用JWT来验证用户身份。 总结 以上是实现Spring Boot和Vue.js前后分离的步骤,我们可以使用Security和JWT实现安全的登录和授权机制。这种开发模式可以让我们更好地实现前后分离,提高我们的开发效率和应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值