前后端分离时,后端用spring security做登录的认证和授权需要注意的点

最新推荐文章于 2023-07-06 00:03:01 发布
最新推荐文章于 2023-07-06 00:03:01 发布
阅读量534 收藏
点赞数
分类专栏: java项目学习笔记 文章标签: 前端 servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45947664/article/details/127235200
版权
本文探讨了前后端分离时如何使用Spring Security进行登录认证和授权,强调了关闭CSRF校验、禁用session以及处理跨域问题的重要性。通过生成并验证Token,防止CSRF攻击,确保用户信息安全。
摘要由CSDN通过智能技术生成

前后端不分离时,为了提高系统的安全性,可能会用到session、cookie、token(这里的token一般都是存在了请求体里)等,但是无论哪一种其实都能被伪造,遭受CSRF攻击。

前后端分离时,关掉了csrf ,不会去校验csrf_token,并且禁用了session,所以直接从源头解决掉了问题。最后就是把登录时生成的token,在前端实现把token存在请求头里。

尤其注意:

         1、添加跨域类,解决跨域问题

import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.context.annotation.Configuration;
//跨域请求配置类
@Configuration
public class CrosConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //允许跨域的路径:任意, 即服务
        registry.addMapping("/**")
                //允许跨域访问的源,如果下面那个报错,就用这个.allowedOriginPatterns("*")
                .allowedOriginPatterns("*")
                //允许跨域访问的请求方式:任意 post get de
最低0.47元/天 解锁文章
念衢
关注
专栏目录
Spring Security 前后端分离认证
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 114
我们初步引入了Spring Security,并使用其默认生效的HTTP基本认证来保护URL资源,本章我们使用表单认证来保护URL资源。
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 816
在CSRF和CORS的问题上搞了这么久,一个是因为平工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
登录功能注意
qq_45947664的博客
09-20 2168
网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。判断每次请求由哪一个用户发出的,不用session,1、因为每次请求都要查询数据库,数据库压力太大,2、如果把session存到cookie中容易被伪造,CSRF攻击(cross-site request forgery)2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此用户登录网站A成功,可以正常发送请求到网站A;
前后端分离(session管理)(一)简单实例
w_t_y_y的博客
06-11 1723
springboot集成shiro简单实例
Spring Security前后端分离认证及记住我踩坑
互联网编程爱好者
01-24 2311
Spring Security前后端分离认证 前言:Spring Securityspring提供的一个安全框架,提供了登录认证、密码保护、自动登录等。这是我目前学习到的功能,当然它的强大之处远不止这些了。Spring Security处理登录功能使用的 form表单,底层获取参数使用的request.getParamter的形式获取的。但是前后端分离模式使用的是异步请求,所以在前后端分离模式下会出现很多问题。以下记录了我出现过的问题。 这里后端使用的是springboot+spring secur
前后端分离session问题的处理与设计
小张的博客
04-18 3122
前后端分离项目中session问题的处理,并且使用token进行用户信息的验证和维护
SpringSecurity+JWT前后端分离架构登录认证
最新发布
01-20
前后端分离的场景下,Spring Security 可以作为后端的身份验证服务,处理用户的登录请求,确保只有合法的用户能够访问受保护的资源。 **JWT** JWT 是一种轻量级的身份验证标准,用于在网络应用环境中安全地传输...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
m0_68850571的博客
04-10 1万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制 前言     关于Spring Security的概念部分本文不进行赘述,本文主要针对于对Spring Security以及Springboot有一定了解的小伙伴,帮助大家使用Springboot + Spring Security 实现一个前后端分离登录认证的过程。     文章会一步一步循序渐进的带大家敲一遍代码。最终的代码请看最后。     代码中我用到了插件lombok来生成实体的getter/set
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
后端项目为啥不用session
一个保安的自由之路
02-15 3761
????1:单体架构,整体的运行是以jar或者war进行部署运行,运行过程中是以进程运行,在程序执行是数据存储的过程都是在这个进程中。比如:你运行一个程序就会你的系统的产生一个java.exe进程。 ????2:后端部分,还运行java进程中。前端部分:vue+nodejs架构进行运行,在部署阶段发布一个静态文件部署nginx进程。 ????3;JWT ​????​前后端分离后,session位于两个进程中以及两个不同的服务器中,互相进水不犯河水~ ​????​JWT三件事情:创建Token,校验Tok
Spring Security OAuth2.0(2):基于session认证方式
不积跬步,无以至千里
07-06 850
它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的session_id存放到cookie中,这样用户客户端请求带上session_id就可以验证服务器端是否存在session数据,以此完成用户的合法验证,当用户退出系统或session过期销毁,客户端的session_id也就无效了。在上面,在登录成功会将用户存入session,在访问资源getSession获取用户身份信息,在登出,使session 无效已完成会话。(3) 编写登录认证接口。
登录的一些注意事项(以java为例)
less_cold的博客
10-13 1368
登录这件事情,其实最基本的思路就是: 设置一个用户名,一个密码,一个登录按钮 通过ajax把用户名和密码,传给后台(controller等)进行判断,从数据库中读出所有的用户名和密码进行判断即可。 在html中有一种form表单,值得学习一下, /j_spring_security_check" method="post">
SpringBoot+SpringSecurity+SpringSession实现一个前后端分离的权限管理系统
热门推荐
Linch的博客
05-05 1万+
这里SpringBoot用2.0.5版本 一、准备工作 1、主要依赖如下: dependencies { compile('com.alibaba:druid:1.1.5') compile('com.baomidou:mybatis-plus-boot-starter:2.2.0') compile('org.springframework.boot:s...
从cookie/session和token的角度来认识一下spring security oauth
nrsc
10-10 4878
项目源码地址https://github.com/nieandsun/security
Spring boot security jwt 前后台分离与遇到的问题
qq_33733799的博客
02-14 1515
    最近自己在练习spring boot ,发现真的很好用,登陆是必不可少的,自然而然的就用到了security,然后发现了jwt,就试着了一下,确实是搞出来了,但是遇到了一些问题。 整合Spring boot security jwt我参考的是Spring Boot中使用使用Spring Security和JWT 大家自己去看看,我只是稍作修改,原理流程和配置都是用的这个。 但是...
Spring Security介绍
W211953332的博客
08-13 483
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
门徒Disciples强势登陆纽约代广场纳斯达克大屏
j0665的博客
05-03 4107
作为全球项目,纳斯达克只是门徒Disciples的第一个阵地,更多动作蓄势待发!登陆美国纳斯达克大屏幕,不仅为向世界彰显Disciples的强大的项目实力,无疑是项目继全面上线PancakeSwap之后,开启全球生态扩张的又一重大里程碑,敬请期待!
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5159
想要在基于SpringSecuritySpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
spring security 实现登录认证功能前后端分离
06-08
实现 Spring Security 前后端分离登录认证功能需要以下步骤: 1. 前端页面发送登录请求到后端,请求中包含用户名和密码。 2. 后端接收到登录请求后,使用 Spring Security 进行登录认证。 3. 如果认证成功,后端生成一个 token,将其返回给前端。 4. 前端将 token 存储在本地,以备后续请求使用。 5. 前端在后续请求中,在请求头中添加 token,以便后端进行身份验证。 具体实现步骤如下: 1. 后端配置 Spring Security,实现登录认证功能。 2. 前端使用 Axios 发送登录请求,请求中包含用户名和密码。 3. 后端接收到登录请求,使用 Spring Security 进行登录认证。如果认证成功,生成一个 token,将其返回给前端。 4. 前端将 token 存储在本地,例如使用 localStorage 进行存储。 5. 前端在后续请求中,在请求头中添加 token,例如使用 Axios 的拦截器,在请求头中添加 Authorization 字段,值为 "Bearer " + token。 6. 后端在接收到请求,从请求头中获取 token,进行身份验证。 注意事项: 1. token 需要设置有效期,避免 token 泄露后仍可使用。 2. token 需要使用加密算法进行处理,避免被篡改。 3. 后端需要设置跨域访问,允许前端发送跨域请求。 4. 前端需要处理 token 失效的情况,例如在请求返回 401 状态码,清除本地存储的 token,重新跳转到登录页面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

念衢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值