vue+spring-security前后端分离登录实现

已于 2023-03-29 10:03:51 修改
阅读量329 收藏
点赞数
文章标签: java vue.js
于 2023-03-29 09:58:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m88997766/article/details/129830755
版权
本文探讨了vue.js与spring-security在前后端分离登录中的应用,比较了shiro与spring-security的区别,选择了基于session的安全策略。详细介绍了spring-security的权限控制实现,包括AuthenticationBuilder、UserDetailsService、DaoAuthenticationProvider等关键组件,并分享了axios的统一请求封装和spring-data在DAO层的使用。
摘要由CSDN通过智能技术生成

1.shiro和spring-security区别

首先Shiro较之Spring SecurityShiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。

Spring Security除了不能脱离SpringShiro的功能它都有。Spring SecuritySpring结合较好,如果项目用的springmvc,使用起来很方便。

我们公司的登录认证主要使用了Shiro,实现了登录认证以及oauth2认证。提供了接口供不同个性化登录实现,如:

  1. IdentityBuilder:构建登录身份,控制登录流程
  2. UserService:查询用户真实信息
  3. CredentialsMatcher:校验登录身份和真实信息
  4. NamedAuthenticationListener:登录成功、失败的后处理

参照这套认证体系,我们采用Spring Security来重构以下。

2.jwt和session的选择

基于session和基于jwt的方式的主要区别就是用户的状态保存的位置,session是保存在服务端的,而jwt是保存在客户端的。jwt的优点就不说了,主要说说缺点

  1. 由于jwt的payload是使用base64编码的,并没有加密,因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全。
  2. jwt太长。由于是无状态使用JWT,所有的数据都被放到JWT里,如果还要进行一些数据交换,那载荷会更大,经过编码之后导致jwt非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以jwt一般放在local storage里面。并且用户在系统中的每一次http请求都会把jwt携带在Header里面,http请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用jwt的http请求比使用session的开销大得多。
  3. 无状态是jwt的特点,但也导致了这个问题,jwt是一次性的。想修改里面的内容,就必须签发一个新的jwt。

为了安全性我们也是选择session来保存用户状态,而我们公司的系统经常要在服务端根据session进行权限控制,而jwt主要用在移动端的无状态场景。

3.spring-security权限控制实现

3.1 AuthenticationBuilder对标IdentityBuilder

Spring Security用一个类专门负责接手前端数据构建登录身份,这个类时UsernamePasswordAuthenticationFilter,但是这个类只能接受url请求中的参数,对于请求参数不在url中的则没法解析。所以我们需要个性化这个类让他能够Request PayLoad中的数据。

/**
 * {@link UsernamePasswordAuthenticationFilter}
 */
public class FrameUsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private final AuthenticationBuilder authenticationBuilder;

    public FrameUsernamePasswordAuthenticationFilter(AuthenticationBuilder authenticationBuilder) {
        super(new AntPathRequestMatcher("/api/login", "POST"));
        this.authenticationBuilder = authenticationBuilder;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request,
                                                HttpServletResponse response) throws AuthenticationException {
        Authentication authRequest = authenticationBuilder.build(request, response);
        return this.getAuthenticationManager().authenticate(authRequest);
    }

}
复制代码

另外我们在封装一个AuthenticationBuilder接口用于个性化实现,并提供默认实现FrameAuthenticationBuilder

public class FrameAuthenticationBuilder implements AuthenticationBuilder {
    
    @Override
    public Authentication build(HttpServletRequest request, HttpServletResponse response) {
        LoginVO loginVO = JSON.parseObject(getRequestPayload(request), LoginVO.class);
        return new UsernamePasswordAuthenticationToken(
                loginVO.getUsername(), loginVO.getPassword());
    }

    public String getRequestPayload(HttpServletRequest request) {
        try {
            return IOUtils.toString(request.getReader());
        } catch (IOException ex) {
            ex.printStackTrace();
        }
        return "";
    }
}
复制代码

3.2 UserDetailsService对标UserService

Spring Security有个类专门负责通过username查找用户信息的接口,这个接口就是UserDetailsService

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //可以从数据库里根据username去除用户信息
    }
复制代码

3.3 DaoAuthenticationProvider对标CredentialsMatcher

AbstractUserDetailsAuthenticationProvider类提供了一个抽象方法additionalAuthenticationChecks用子类DaoAuthenticationProvider实现,UserDetails参数为AuthenticationBuilder构建的前端参数,UsernamePasswordAuthenticationTokenUserDetailsService通过前端传递的username去数据库中查询到的用户信息,对比两个对象的密码判断是否认证通过。值

最低0.47元/天 解锁文章
m0nesy小孩
关注
Springboot + Spring Security+Swagger 实现前后端分离登录认证及权限控制 (一) 系统的登录以及跳转自定义登录界面
隔壁张同学
11-09 2462
文章目录前言一、解决办法二、使用步骤1.先把项目跑起来断点打起来走下流程试试2.自定义登录总结 前言 因为最近有个项目需要用到Springboot + Spring Security的登录跟权限认证,因为之前都没接触过,所以得从0开始,也是不断的查询摸索,虽然还么理清这些原理,但是好在实现了功能,先解决问题,然后再深究原理,所以打算记录下来实现这块遇到的一些问题,给自己记录也给有需要的朋友 提示:以下是本篇文章正文内容,下面案例可供参考 一、解决办法 那肯定是先百度搜索一下,于是搜到一篇大佬的文章确实
vue前后端分离后台管理系统(权限管理,登录),对接后端SpringSecurity,实现权限管理功能
m0_67402914的博客
03-06 766
文章目录 一、重要知识点总结以及登录功能实现 二、权限管理菜单的增删改查实现 1. 路由配置 2. 用户管理功能 2.1 后端接口API介绍 2.2 前端api接口 2.3 页面和逻辑编写 3. 角色管理功能 3.1 数据回显 4. 菜单管理功能 4.1 树形结构数据处理算法 三、权限控制功能实现 1. 拆分路由 2. 将用户角色和菜单权限保存到vuex,然后过滤路由 3. 使用模板需要做的额外更改 4. 解决刷新页面vuex中数据丢失,路由丢失问题 四、按钮权限控
一文搞定SpringSecurity+vue前后端分离
SiuMu_的博客
05-30 3420
我好菜啊,学了好几天才明白一点点 前言   把江南一点雨的v部落git下来学一学,比起halo来说v部落会更加简单好懂一点。我看他用了SpringSecurity来做登录验证,那第一步就是学学这个SpringSecurity。   然后我就发现了,我真的是太菜了,看博客,看视频都不尽如意。尤其是用vue配合SpringSecurity的情况下实在是费劲,看了好多资料感觉都不是我需要的,懂得人感觉特别简单,不懂的就很费劲,说来说去还是我太菜了。   我也是看了好几天资料并结合v部落的代码,才算是琢磨出来一.
Vue 中 Axios 配置指南
最新发布
weixin_58462329的博客
09-01 725
Axios 是一个基于 Promise 的 HTTP 客户端,适用于浏览器和 Node.js 环境。在 Vue 项目中,Axios 常用于与后端 API 进行通信。本文将介绍如何在 Vue 项目中配置和使用 Axios。
SpringSecurity+Vue实现前后端分离的认证授权
sinat_34241861的博客
07-12 4602
一、SpringSecurity的配置 1)pom.xml文件添加依赖 <!-- spring security依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2)User类,实现
SpringBoot项目模板搭建(前后端分离)包含自定义登录认证
严泽熠的博客
01-19 834
SpringBoot项目模板搭建,前后端分离项目中后端模板,包含自定义登录验证等一系列常用功能
Vue Spring Boot前后端分离开发实战》源码Vue+Spring Boot前后端分离开发实战教学课件(PPT)
08-09
在现代Web应用开发中,Vue.js和Spring Boot的结合已经成为了一种常见的前后端分离架构模式。这本《Vue Spring Boot前后端分离开发实战》的源码提供了深入学习和实践这一技术栈的机会。以下是对其中涉及知识点的详细...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
java毕设:办公自动化系统-springboot+vue+element-ui 前后端分离.zip
09-10
本项目采用SpringBoot作为后台框架,Vue.js作为前端框架,Element-UI作为用户界面组件库,构建了一个完整的前后端分离的办公自动化系统,为理解这些技术的融合与应用提供了实际案例。 一、SpringBoot SpringBoot是...
java毕设:办公自动化系统——springboot+vue+element-ui 前后端分离.zip
12-16
本项目是一个基于Java技术栈的办公自动化系统,采用SpringBoot框架作为后端核心,Vue.js作为前端框架,Element-UI作为界面组件库,实现前后端分离的架构设计。这个项目非常适合用作毕业设计或课程设计,对于学习和...
springsecurity+vue实现登陆认证
hayhead的博客
08-11 1151
springboot+springsecurity+vue实现简单的登陆认证
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
spring security + jwt + vue前端笔记
m0_52348758的博客
03-12 1992
开发SpringBoot+Jwt+Vue前后端分离后台管理系统VueAdmin - 前端笔记 社长 4月前 ⋅ 25583 阅读 一个spring security + jwt + vue前后端分离项目!综合运用! 关注公众号 MarkerHub,回复【 VueAdmin 】可以加群讨论学习、另外还会不定时安排B站视频直播答疑! 首发公众号:MarkerHub 作者:吕一明 视频讲解:https://www.bilibili.com/video/BV1af4y1s7Wh/ 线上演示:https://
前后端分离,使用vue3整合SpringSecurity加JWT实现登录认证
2301_78646673的博客
01-22 4405
前段时间写了一篇spring security的详细入门,但是没有联系实际。所以这次在真实的项目中来演示一下怎样使用springsecurity来实现我们最常用的登录校验。本次演示使用现在市面上最常见的开发方式,前后端分离开发。前端使用vue3进行构建,用到了element-plus组件库、axios封装、pinia状态管理、Router路由跳转等技术。后端还是spring boot整合springsecurity+JWT来实现登录校验。
vue +security 前后段分离权限管理小demo
weixin_44540130的博客
06-01 792
security+ vue 实现前后端分离权限 演示视频链接: https://gulibuckets.oss-cn-shenzhen.aliyuncs.com/Action 2021-6-1 20-46-34.mp4?versionId=CAEQIxiBgICG8ceezhciIGYwOGFhNDRjYmJmZDQ3M2ZhNWNkODkxMWFjMmYwMjY3 gitee demo 地址 : https://gitee.com/wx_c3b99916a9/vue_security/tree/css/
前后端完全分离模式vue+security+jwt
lalaalalu的博客
12-29 533
在初次接触java的web开发时对整个框架都不太了解,这里提供一下比较流行的前后端完全分离的开发模式vue\security和jwt如何集成的问题(太多朋友发的解决办法security的config配置都涉及到自己定制登录页面提交请求,这样的话后端代码必然需要一个登录页面比如login.html或者login.vue,那大部分都是视屏讲课老师在授课时为了方便定制前端页面,而且在认证后会自动有个跳转页面真正在前后端分离时后端并没有前端的页面,仅仅提供接口返回数据) 在集成到项目时主要有几个重要的步骤: 第一步
SpringBoot系列(六)SpringBoot 集成 Security + Vue 实现前后端分离登录
西门吹雪花
09-20 8517
Spring Security 是做啥的呢?借用官方文档上的一句话:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。说的通俗点就是认证和授权。但是在前后端分离的情况下集成 Spring Security 还是有一些不同的。因为在前后端分离的情况下我们希望所有的返回结果都以 Json 的形式返回给前台,显然 Security 的一些默认配置无法满足我们的要求。下面...
SpringBoot+Vue+SpringSecurity+JWT实现登录
weixin_43203735的博客
05-18 1738
前后端代码:GitHub地址 Vue-Cli创建前端项目 前端项目目录结构 我们需要Login.vue和Home.vue组件,一个用于登录,一个用于登录成功之后的跳转。 我们需要封装一些函数,这些函数用于在前后端交互时请求与响应的拦截。定义api.js 我们还需要删除原有的组件,清除App.vue的内容(不能删除)。 引入Element-ui 参考element-ui官网 在main.js文件中引入Element-ui import ElementUI from 'element-ui'; import
SpringSecurity+vue3搭建项目
盛世繁华
02-21 1117
使用SpringSecurity+vue3搭建项目 这里主要记录一下在使用SpringSecurity与vue3配合时遇到的问题 1、配置部分URL允许访问 : 需要在allRequest().authenticed()方法前指定允许未经认证的访问URL 2、配置跨域,要严格按照官方给出的允许跨域例子来配置 3、csrf()一定要关掉,否则SpringSecurity 的login接口不会接收来自axios的登陆请求 4、使用axios请求SpringSecurity的登陆接口时请求头是要使用提交表单的请求
学生选课管理系统毕业设计:Vue3+Spring Boot前后端分离架构
系统采用前后端分离架构,前端项目可利用npm run build命令打包部署。目标用户环境为现代主流浏览器,如Microsoft Edge和Google Chrome,且建议在1080p分辨率下使用以保证最佳体验。具体项目信息和使用方法可通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值