03-基于Spring Security + JWT实现前后端分离架构的权限管理

最新推荐文章于 2022-08-11 11:45:00 发布
最新推荐文章于 2022-08-11 11:45:00 发布
阅读量707 收藏 2
点赞数
分类专栏: SpringBoot 项目实战 文章标签: jwt java spring boot 项目架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33703512/article/details/107563439
版权
本文介绍了在前后端分离的架构中,如何利用Spring Security结合JWT实现无状态登录流程。详细讲解了JWT的工作原理,并提供认证和鉴权的代码实现,包括JWT令牌的生成、配置以及在安全配置中的应用。通过实例展示了如何解决微服务集群中的状态管理问题,以及无状态服务的优势。
摘要由CSDN通过智能技术生成

任务案例分析

在我们传统的B\S应用开发方式中,都是使用session进行状态管理的,比如说:保存登录、用户、权限等状态信息。这种方式的原理大致如下:

上面就是一种有状态服务。

当然,这整个过程中,cookies和sessionid都是服务端和浏览器端自动维护的。所以从编码层面是感知不到的,程序员只能感知到session数据的存取。但是,这种方式在有些情况下,是不适用的。比如:非浏览器的客户端、手机移动端等等,因为他们没有浏览器自动维护cookies的功能。比如:集群应用,同一个应用部署甲、乙、丙三个主机上,实现负载均衡应用,其中一个挂掉了其他的还能负载工作。要知道session是保存在服务器内存里面的,三个主机一定是不同的内存。那么你登录的时候访问甲,而获取接口数据的时候访问乙,就无法保证session的唯一性和共享性。当然以上的这些情况我们都有方案(如redis共享session等),可以继续使用session来保存状态。但是还有另外一种做法就是不用session了,即开发一个无状态的应用,JWT就是这样的一种方案。

那上面说的无状态是什么?

微服务集群中的每个服务,对外提供的都使用RESTful风格的接口。而RESTful风格的一个最重要的规范就是:服务的无状态性,即:服务端不保存任何客户端请求者信息,客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份那么这种无状态性有哪些好处呢?
客户端请求不依赖服务端的信息,多次请求不需要必须访问到同一台服务器服务端的集群和状态对客户端透明服务端可以任意的迁移和伸缩(可以方便的进行集群化部署)减小服务端存储压力。

如何实现无状态登录的流程:

首先客户端发送账户名/密码到服务端进行认证认证通过后,服务端将用户信息加密并且编码成一个token,返回给客户端以后客户端每次发送请求,都需要携带认证的token服务端对客户端发送来的token进行解密,判断是否有效,并且获取用户登录信息

在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring Security 和 JWT 结合在一起使用,进而实现前后端分离时的登录解决方案。

什么是JWT?

JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。
JWT是一个加密后的接口访问密码,并且该密码里面包含用户名信息。这样既可以知道你是谁?又可以知道你是否可以访问应用?

https://jwt.io/
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

JWT交互流程流程图:


最低0.47元/天 解锁文章
实训邦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
基于spring security 实现前后端分离项目权限控制
weixin_34162629的博客
06-14 993
前后端分离项目,前端有菜单(menu),后端有API(backendApi),一个menu对应的页面有N个API接口来支持,本文介绍如何基于spring security实现前后端的同步权限控制。 实现思路 还是基于Role来实现,具体的思路是,一个Role拥有多个Menu,一个menu有多个backendApi,其中Role和menu,以及menu和backendApi都是ManyToMany...
SpringSecurity系列3】基于Spring Webflux集成SpringSecurity实现前后端分离无状态Rest API的权限控制
u011743540的博客
06-06 632
Spring WebFlux 是一个异步非阻塞式的 Web 框架,它能够充分利用多核 CPU 的硬件资源去处理大量的并发请求。SpringSecurity 专门为 Webflux 定制了一套用于权限控制的 API,因此在 Webflux 应用中集成 SpringSecurity,和前面讲的 Web 应用集成 SpringSecurity 还是有一定区别。......
前后端分离SpringSecurity+JWT
niulinbiao的博客
09-08 1522
文章预览前言一、数据库准备1.1、用户表1.2、角色表1.3、用户角色表1.4、权限(菜单)表1.5、角色权限表二、环境准备2.1、整合Mybatis-Plus2.1.1、导入依赖2.1.2、配置文件2.1.3、配置Mybatis-Plus2.1.4、生成代码2.2、结果集封装2.3、全局异常处理2.4、跨域处理三、整合SpringSecurity3.1、引入依赖3.2、Jwt配置3.3、工具类3.3.1、JwtUtils.java3.3.2、RedisUtil配置3.4、验证码配置3.5、登录处理器3.5
SpringSecurity+JWT前后端分离[上]
私信可回答各种问题~
07-29 810
SpringSecurity+JWT前后端分离
从零玩转SpringSecurity+JWT整合前后端分离
杨不易呀
04-10 400
从零玩转SpringSecurity+JWT整合前后端分离 2021年4月9日 · 预计阅读时间: 50 分钟 一、什么是Jwt? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准 ((RFC 7519).该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT 的声明一般被用来在身份提供者和服务...
太赞了!Spring Security+JWT+Vue实现一个前后端分离的认证系统
程序员闪充宝
06-25 612
作者:陕西颜值扛把子来源:https://zhuanlan.zhihu.com/p/9556038简介完整代码:https://github.com/PuZhiweizuishuai/S...
Spring Security + JWT实现前后端分离登录处理】
清风ikl的博客
08-11 1148
JSON Web Tokens 是JSON格式的加密字符串,用于加密验证信息,在前后端进行通信分为三个部分1) 头部2) 负载3) 指纹Java后台使用jjwt包来实现JWT的操作JWT工具类/*** JWT工具类*//*** 私钥加密token*/}/*** 从token解析用户** @return*/}}RSA是一种非对称式的加密算法对称式加密只有一个秘钥,加密和解密都通过该秘钥完成非对称式加密有两个秘钥,公钥和私钥,加密和解密由公钥和私钥分开完成。...
一文搞懂SpringSecurity+JWT前后端分离~
热门推荐
weixin_45647685的博客
04-27 1万+
1、简介 SpringSecurity属于Spring家族中的一款安全管理框架,,它提供了一套Web应用安全性的完整解决方案。主要的功能是认证和授权。 **认证 *验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。 **授权 *经过认证后判断当前用户是否有权限进行某个操作。 2、快速入门 2.1、创建一个SpringBoot工程 1、先创建一个最基本的SpringBoot工程,配置好相关数据库,并且编写一个Controller进行测试。 ① 导入依赖 ...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
.netcore3.1添加swagger及JWT Authorize 验证 JWT 的优缺点 相比于传统的 cookie-session 认证机制,优点有: 更适用分布式和水平扩展 在cookie-session方案中,cookie内仅包含一个session标识符,而诸如用户信息、授权列表等都保存在服务端的session中。如果把session中的认证信息都保存在JWT中,在服务端就没有session存在的必要了。当服务端水平扩展的时候,就不用处理session复制(session replication)/ session黏连(sticky session)或是引入外部session存储了。 适用于多客户端(特别是移动端)的前后端解决方案 移动端使用的往往不是网页技术,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。 无状态化 JWT 是无状态化的,更适用于 RESTful 风格的接口验证。 它的缺点也很明显: 更多的空间占用 JWT 由于Payload里面包含了附件信息,占用空间往往比SESSION ID大,在HTTP传输中会造成性能影响。所以在设计时候需要注意不要在JWT中存储太多的claim,以避免发生巨大的,过度膨胀的请求。 无法作废已颁布的令牌 所有的认证信息都在JWT中,由于在服务端没有状态,即使你知道了某个JWT被盗取了,你也没有办法将其作废。在JWT过期之前(你绝对应该设置过期时间),你无能为力。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
第四节 springsecurity结合jwt实现前后端分离开发
F_angT的博客
07-22 676
前后端分离现在是主流开发形式,jwt也是用的比较多一种令牌方式,接下来我们来整合下jwt。方便后续和vue进行前后端联动开发。Security整合jwt有很多种方法,核心还是要理解filterChain目前的返回格式比较不符规范,下一节把输出格式化下。...
Spring Security 前后端分离下的权限控制
蹊源的奇思妙想的博客
06-11 2902
Spring Security 前后端分离下的权限控制 简单来说,前后端分离项目和前后端不分离的项目区别在于: 前者是通过响应状态来驱动业务的,而后者可以直接进行页面的跳转,进而驱动业务的。 依赖 <!--SpringBoot Security模块--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-secu
从壹开始前后端分离[.NetCore] 37 ║JWT完美实现权限与接口的动态分配
weixin_30456039的博客
12-19 283
缘起 本文已经有了对应的管理后台,地址:https://github.com/anjoy8/Blog.Admin 哈喽大家好呀!又过去一周啦,这些天小伙伴们有没有学习呀,已经有一周没有更新文章了,不过晚上的时候,我也会看一些书和资料,这里给大家分享下: 1、之前简单的写了一个DDD+CQRS+ES的第二个系列《D3模式设计初探 与 我的计划书》,已经基本完结了,写的比较简单,然后我也找到...
前后端分离的web令牌JWT(Token)
weixin_42358094的博客
05-04 488
项目遇到前后端分离的状况下,需要token验证传递一系列信息是必不可少的; 大部分情况下会使用jwt所提供的token来完成需求; jwt---token的流程分为: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证发送给用户一个token 客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 前端登录成功后端会返回一...
.Net Core 3.1 WebApi +Autofac+Jwt 实现前后端分离 ,通过token授权实现文件上传下载
qq_15632461的博客
09-24 2415
Asp.Net Core 3.1 WebApi 实现前后端分离 文件上传 架构设计:ASP.Net Core 3.1 +Swagger+Jwt+Autofac+Redis+SqlSugar。需求痛点:因为最近在做前后端分离项目,用到了文件上传下载功能,找了很多类似的案例,基本上都是相互转载,很少有原创的,最后没有达到我想要的预期效果,故写此篇文章。 需求背景:以前在做文件上传下载,都是基于FrameWork项目或者Core Web项目实现的文件上传或下载,基于web的文件下载及权限比较好实现的。但是现在很多
springsecurity前后端分离登录认证_Spring Security 真正的前后分离实现
weixin_39710361的博客
11-20 335
本文同名博客老炮说Java:https://www.laopaojava.com/,每天更新Spring/SpringMvc/SpringBoot/实战项目等文章资料Sentinel+Nacos 是微服务环境搭建必不可少的两个组件,这里给大家推荐一套微服务教程:SpringCloud微服务电商项目教程 - 老炮说Java-程序员编程资料和编程经验分享平台​www.laopaojava.com教程主...
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
最新发布
07-11
前后端分离架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值