基于SpringSecurity 的登录详解(前后端分离)

已于 2022-08-06 11:53:09 修改
阅读量4.5k 收藏 28
点赞数 5
分类专栏: 企业级框架 文章标签: java
于 2022-08-06 11:52:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45784240/article/details/126189630
版权
前后端分离登录:JWT单点登录
摘要由CSDN通过智能技术生成

目录

登录总体流程

基于JWT和RSA的Token机制

JWT简介

RSA简介

SpringSecurity登录处理的配置

后端过滤器的Token解析

前端拦截器处理

登录总体流程

前后端分离登录和常规后台登录的区别

1.前后端交互方式不同

常规登录:  通过页面的跳转和模型数据绑定

前后端分离:  通过Ajax和JSON进行通信

2.登录状态跟踪方式不同

常规登录:  通过Session和Cookie保存用户状态

前后端分离:  通过Token保持用户状态

前后端分离的优点

1.彻底解放前端

前端不再需要向后台提供模板或是后台在前端html中嵌入后台代码

2.提高工作效率,分工更加明确

前后端分离的工作流程可以让前端管签单,后端管后端,前后端开发同时进行,增加了开发的灵活性。

3.局部性能提升

通过前端路由的配置,可以实现页面的按需加载,不用一开始就加载所有的资源,提升了用户体验。

4.降低维护成本

通过MVC框架,可以快速的定位问题所在,客户端的问题不再需要后台人员参与及调试,增强了代码的重构及可维护性。

总体流程

基于JWT和RSA的Token机制

JWT简介

JWT(JSON Web Tokens )是JSON格式的加密字符串,用于加密验证信息,在前后端进行通信

分为三个部分

1) 头部

2) 负载

3) 指纹

需要的依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

<dependency>
    <groupId>joda-time</groupId>
    <artifactId>joda-time</artifactId>
    <version>2.9.9</version>
</dependency>

JWT工具类

/**
 * JWT工具类
 */
public class JwtUtil {

    public static final String JWT_KEY_USERNAME = "username";
    public static final int EXPIRE_MINUTES = 120;

    /**
     * 私钥加密token
     */
    public static String generateToken(String username,  PrivateKey privateKey, int expireMinutes) {

        return Jwts.builder()
                .claim(JWT_KEY_USERNAME, username)
                .setExpiration(DateTime.now().plusMinutes(expireMinutes).toDate())
                .signWith(SignatureAlgorithm.RS256, privateKey)
                .compact();
    }

    /**
     * 从token解析用户
     *
     * @param token
     * @param publicKey
     * @return
     * @throws Exception
     */
    public static String getUsernameFromToken(String token, PublicKey publicKey){
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token);
        Claims body = claimsJws.getBody();
        String username = (String) body.get(JWT_KEY_USERNAME);
        return username;
    }
}

RSA简介

RSA是一种非对称式的加密算法

对称式加密只有一个秘钥,加密和解密都通过该秘钥完成

非对称式加密有两个秘钥,公钥和私钥,加密和解密由公钥和私钥分开完成

/**
 * RSA工具类
 */
public class RsaUtil {

    public static final String RSA_SECRET = "blbweb@#$%"; //秘钥
    public static final String RSA_PATH = System.getProperty("user.dir")+"/rsa/";//秘钥保存位置
    public static final String RSA_PUB_KEY_PATH = RSA_PATH + "pubKey.rsa";//公钥路径
    public static final String RSA_PRI_KEY_PATH = RSA_PATH + "priKey.rsa";//私钥路径

    public static PublicKey publicKey; //公钥
    public static PrivateKey privateKey; //私钥

    /**
     * 类加载后,生成公钥和私钥文件
     */
最低0.47元/天 解锁文章
沐-200
关注
  • 5
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4837
本文重点解析了SpringSecurity登录过程中的详细流程,以及整体总结
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
《基于SpringSecuritySpringBoot企业级人事管理系统详解》 在当今的互联网开发环境中,SpringBoot以其简洁、高效的特点,已经成为构建后端服务的主流框架。而SpringSecurity作为Spring生态系统中的安全组件,为...
SpringSecurity实现前后端分离登录授权详解
qq_43649937的博客
06-14 4648
SpringSecurity java Springboot
SpringBoot-06-Security(前后端分离)
最新发布
m0_74353020的博客
06-03 1561
当然我们每次都会先走一下我们的自己定义的过滤器,我们当时写的是如果都身份令牌没有问题,并且能在redis中查询到,就存放到Security上下文当中,但是我们只是存放了用户名密码,并没有存放身份,这里我们存放一下我们的身份信息//我们的token是存放在请求头中的if(!StringUtils.hasText(token)){//请求头没有就放行return;//解析tokentry{throw new RuntimeException("token非法");//从redis中获取。
前后端分离,使用vue3整合SpringSecurity加JWT实现登录认证
2301_78646673的博客
01-22 3218
前段时间写了一篇spring security的详细入门,但是没有联系实际。所以这次在真实的项目中来演示一下怎样使用springsecurity来实现我们最常用的登录校验。本次演示使用现在市面上最常见的开发方式,前后端分离开发。前端使用vue3进行构建,用到了element-plus组件库、axios封装、pinia状态管理、Router路由跳转等技术。后端还是spring boot整合springsecurity+JWT来实现登录校验。
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3300
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2812
SpringSecurity实现登录登出
SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1157
SpringSecurity+JWT
如何基于spring security实现在线用户统计
08-19
Spring Security 是一个基于Spring Framework的安全框架,它提供了一个灵活、可扩展、可配置的安全解决方案。Spring Security 提供了许多功能,包括身份验证、授权、加密、会话管理等。 在线用户统计的重要性 在线...
基于 java + vue 的前后端分离的考试系统.zip
05-05
《构建基于Java+Vue的前后端分离考试系统详解》 在现代互联网开发中,前后端分离已经成为了一种常见的架构模式,它可以有效地提高开发效率,增强系统的可维护性和扩展性。本项目“基于 Java + Vue 的前后端分离的...
基于SSM及前后端分离的复习系统
07-09
基于SSM和前后端分离的复习系统可能包含以下模块: 1. **用户模块**:用户注册、登录、权限管理等功能,利用Spring Security或自定义的认证授权机制。 2. **课程模块**:课程分类、课程详情展示,用户可以根据需求...
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
影视评论系统Springboot+Vue(前后端分离
06-16
《影视评论系统基于Springboot+Vue的实现详解》 在当今互联网时代,影视评论系统作为互动平台,为用户提供了一个分享观影感受、交流观点的空间。本文将深入探讨如何使用Springboot和Vue.js技术栈构建一个完整的前后...
SpringBoot前后端分离集成SpringSecurity登录功能详解
qq_37782946的博客
11-03 296
SpringSecurity集成到SpringBoot, 从而代替自己实现安全框架是一个较好的选择, 但SpringSecurity官方文档稍显晦涩, 而大部分博客内容又难以统一, 各执一词, 讲解含糊不清, 难以快速理解SpringSecurity的运作原理, 并快速应用到自己项目中.
SpringSecurity - 简单前后端分离 - 自定义认证篇
铠の魂博客
07-21 1620
终于到了我们关心的第一个问题,认证篇。此篇我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity的认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
(十三)springboot实战——springboot前后端分离方式项目集成spring securtity安全框架
厉害哥哥的博客
02-06 1888
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
Spring Security处理登录的流程
A3183958967的博客
10-12 667
用户提交登录表单,包含用户名和密码。 UsernamePasswordAuthenticationFilter 过滤器拦截请求,并将用户名和密码封装成 UsernamePasswordAuthenticationToken 对象。 AuthenticationManager 调用配置的 AuthenticationProvider 列表中的每个提供者进行身份验证。
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5078
想要在基于SpringSecuritySpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
jwt的基本使用
繁华落烬命入戏
12-22 369
文章目录介绍用途解决跨域访问的问题原理JWT 的数据结构JWT基本使用 介绍 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点是无法作废已颁布的令牌/不易应对数据过期。 用途 解决跨...
spring security5.7.5的前后端分离登录怎么处理
04-24
对于前后端分离登录处理,Spring Security 5.7.5可以使用基于JSON Web Token (JWT)的认证方式,具体实现过程如下: 1.前端向后端发送登录请求,后端验证用户名和密码,如果验证通过,则生成JWT,并将其返回给前端。 2.前端将JWT存储在本地(一般存储在localStorage中),后续每次请求时携带JWT,后端验证JWT是否正确、是否过期,如果验证通过,则返回请求数据。 具体实现步骤如下: 1. 在Spring Security配置中,使用JWT替换默认的Session认证方式。 2. 实现登录接口,该接口接收用户名和密码,验证用户名和密码是否正确,如果验证通过,则生成JWT并返回给前端。JSON Web Token是一种开放标准(RFC 7519),由三部分组成:header(头部)、payload(载荷)和signature(签名)。JWT中的载荷部分可以包含用户的一些基本信息,如用户的ID、角色等。 3. 前端将JWT存储在localStorage中,并在后续每次请求时携带JWT。 4. 后端需要实现一个过滤器(Filter),该过滤器在每次请求时验证JWT是否正确、是否过期等。若验证不通过,则返回未授权的错误信息。 通过以上步骤,可以实现Spring Security 5.7.5的前后端分离登录处理。同时需要注意,JWT是可以被截获和篡改的,因此需要进行合适的措施保护JWT,如使用HTTPS协议传输,设置JWT的过期时间等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值