整合token和cookie实现登陆及验证,实现跨域前后端分离

最新推荐文章于 2024-06-15 15:47:47 发布
最新推荐文章于 2024-06-15 15:47:47 发布
阅读量1.9k 收藏 3
点赞数 1
文章标签: vue.js 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011300173/article/details/125402445
版权

现有的后台系统已经是前后端分离架构,后台用的springboot,前台用的基于vue的element UI。一直以为支持跨域的,之前调试的时候也碰到过自己的前端开发环境不能链接生产后台服务,但是用postman等工具却没有问题。当时没有解决,连接本地调试后台就没有问题。后来用新的uniapp代码连接,login接口可以用,其他接口登录时后台始终是不行,始终会被shiro拦截返回401代码让重新登录。尝试了很多种办法,包括:

1,让前端带上cookie

2,让后台不拒绝登录

怎么都不行,然后认证看session和cookie的一些介绍,结合源代码跟踪,终于知道了,现有的浏览器都是支持w3c的一些规定,跨域的cookie无法被自动带入后台,后台shiro目前只是支持cookie。要改成真正跨域的前后端分离,必须实用token方式,就是前端单独记录login接口返回的token,并且每次请求再带上token,后台除了login接口生产返回token之外,还需要改造session管理器,还要支持之前的前端系统访问需求。

一、首先改写后台:

网上搜了很多,无意中看到的一个解决方案,彻底帮我解决了后台的问题,在此对原创的杰子学编程表示感谢:Shiro重构:整合token和cookie实现登陆及验证 - 知乎

1,在shiroconfigurateion.java中启用自定义的 CustomerWebSessionManager

     会话管理器,设定会话超时及保存
    @Bean
    public SessionManager sessionManager() {
//        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        DefaultWebSessionManager sessionManager = new CustomerWebSessionManager();

        if(sessionRedis) sessionManager.setSessionDAO(redisSessionDao); //aws需要
        sessionManager.setGlobalSessionTimeout(7200000);
        Cookie cookie=sessionManager.getSessionIdCookie();
        //cookie.setSecure(true);//添加安全标志,不确定能起作用。cth 2020.11.26
        cookie.setMaxAge(31536000);
        cookie.setHttpOnly(false);

        return sessionManager;
    }

2,编写CustomerWebSessionManager:

登录session开始记录sessionid,如果请求头中包含DEVICE=MOBILE,则将sessionId放在header中返回:

    /**
     * 会话创建
     * Stores the Session's ID, usually as a Cookie, to associate with future requests.
     *
     * @param session the session that was just {@link #createSession created}.
     */
    @Override
    protected void onStart(Session session, SessionContext context) {
        super.onStart(session, context);
        if (!WebUtils.isHttp(context)) {
            log.debug("SessionContext argument is not HTTP compatible or does not have an HTTP request/response " +
                    "pair. No session ID cookie will be set.");
            return;
        }
        HttpServletRequest request = WebUtils.getHttpRequest(context);
        HttpServletResponse response = WebUtils.getHttpResponse(context);
        if (isSessionIdCookieEnabled()) {
            Serializable sessionId = session.getId();

            storeSessionId(sessionId, request, response);

        } else {
            log.debug("Session ID cookie is disabled.  No cookie has been set for new session with id {}", session.getId());
        }
        request.removeAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE);
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
    }

  /**
     * 存储会话id到response header中
     *
     * @param currentId 会话ID
     * @param request   HttpServletRequest
     * @param response  HttpServletResponse
     */
    private void storeSessionId(Serializable currentId, HttpServletRequest request, HttpServletResponse response) {
        if (currentId == null) {
            String msg = "sessionId cannot be null when persisting for subsequent requests.";
            throw new IllegalArgumentException(msg);
        }
        String idString = currentId.toString();
        //增加判断,如果请求头中包含DEVICE=MOBILE,则将sessionId放在header中返回
        if (StringUtils.hasText(request.getHeader(DEVICE)) && MOBILE.equals(request.getHeader(DEVICE))) {
            response.setHeader(AUTH_TOKEN, idString);
        } else {
            Cookie template = getSessionIdCookie();
            Cookie cookie = new SimpleCookie(template);
            cookie.setValue(idString);
            cookie.saveTo(request, response);
        }
        log.trace("Set session ID cookie for session with id {}", idString);
    }

3,Login接口返回token:

    Map<String,Object> data1 = new HashMap<>();
    data1.put("token",response.getHeader("token"));
    result.setData(data1);

4,改写CustomerWebSessionManager获取sessionid方法,如果请求头中带有token,则取token,否则还是调用之前的方法getReferencedSessionId

/**
     * 重写父类获取sessionID的方法,若请求为APP或者H5则从请求头中取出token
     *
     * @param request  请求参数
     * @param response 响应参数
     * @return id
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        if (!(request instanceof HttpServletRequest)) {
            log.debug("Current request is not an HttpServletRequest - cannot get session ID.  Returning null.");
            return null;
        }
        HttpServletRequest httpRequest = WebUtils.toHttp(request);
        if (StringUtils.hasText(httpRequest.getHeader(AUTH_TOKEN))) {
            //从header中获取token
            String token = httpRequest.getHeader(AUTH_TOKEN);
            // 每次读取之后都把当前的token放入response中
            HttpServletResponse httpResponse = WebUtils.toHttp(response);
            if (StringUtils.hasText(token)) {
                httpResponse.setHeader(AUTH_TOKEN, token);
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "header");
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            }
            //sessionIdUrlRewritingEnabled的配置为false,不会在url的后面带上sessionID
            request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
            return token;
        }
        return getReferencedSessionId(request, response);
    }

至此,后台改写完成

二、编写前端代码

之前的代码还是cookie的方式,不写改可以直接用,但是需要测试一下

新的前端是基于uniapp。

1,登录后保存token:setStorageSync

                const result = await this.$send.ajax('/login', data);
				
				if (!result.data.status) {
					this.$api.alerts('登录提示', result.msg, false);
					return;
				} else {
					console.log('用户登录:'+data.username)
					uni.setStorageSync('user', data);
					
					//登录页处理跨域
                    uni.setStorageSync('token', result.data.data.token);			
		
					
					uni.reLaunch({
						url: '../main/main'
					});

					return;
				}

2,后续所有接口请求头都带上token

	var globalData = {
	    header: {
		    'Content-Type': 'application/x-www-form-urlencoded;charset=utf-8',
		    'device': 'mobile'
	    },
    }
    uni.getStorage({
		key: 'token',
		success: function(res) {
			globalData.header.token = res.data
		}
	});

    uni.request({
			url: uri,
			data: datar,
			method: methodtype,
			header: globalData.header,
			withCredentials: true, 
			sslVerify: false,
			success: (res) => {
				
			},
			fail: (err) => {
				
			},
			complete: () => {
				/* uni.hideLoading(); */
			}

至此,前端也完成。

测试之后,完美实现token和cookie双支持,前端cookie的代码就不写了。有兴趣要的可以反馈给我。

四十多岁的程序员初学者
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
008-shiro使用token认证
这个需求,做不了
05-25 8374
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
Shiro重构整合tokencookie实现登陆验证
July_whj
10-16 4082
Shiro重构整合tokencookie实现登陆验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shirocookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
Go TOKEN机制与跨域处理方式
最新发布
专注于全栈开发领域
06-15 1521
TOKEN 机制是一种身份验证和授权的方法,广泛应用于 Web 应用中。它允许用户在不暴露用户名和密码的情况下,通过一个令牌(Token)来访问受保护的资源。TOKEN 机制和 CORS 是构建安全、可扩展 Web 服务的基石。Go 语言提供了强大的工具和库来实现这些功能。通过合理配置和代码实现,开发者可以创建既安全又易于使用的 API 服务。希望本文能为开发者提供有价值的指导和启发。
网络编程之token、session、cookie详解
qq_30067153的博客
02-26 1504
理解cookie、session和token的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
前后端分离项目解决跨域请求携带cookie的问题
qisoft1213的博客
11-19 3619
前后端分离项目解决跨域请求携带cookie的问题 一、描述:真是一个令人头大的问题,网上百度的大多数方法都是,这样: 前端:withCredentials: true 后端:Access-Control-Allow-Credentials = true;..... 这样做其实也没错,但我这不行,我写的一模一样,可就是不行,o(╥﹏╥)o 最后,我觉得问题可能不在这里,可能是设置cookie的时候除了问题,后来还真是,后来一想,这玩意无非就是 源头->通道->接收,但我一直在整后两个却.
spring boot + shiro + vue(axios)采用cookie+session实现前后分离的生产环境跨域配置的笔记
weixin_42922133的博客
02-22 1471
spring boot + shiro + vue(axios)采用cookie+session实现前后分离的生产环境跨域配置的笔记笔记1. **web token** 跨域配置1. **cookie+session** 跨域配置 笔记 采用cookie+session实现前后分离和使用web token的区别(前端异步采用axios) 1. web token 跨域配置 web token 这个...
cookie在前后端项目中的简单实践
前端学习博客
07-16 1808
这里是小飞侠Pan🥳,立志成为一名优秀的前端程序媛!!!本篇文章同时收录于我的github前端笔记仓库中,持续更新中,欢迎star~👉https。
Springboot前后端分离项目配置跨域实现过程解析
08-18
Springboot前后端分离项目配置跨域实现过程解析 在本文中,我们将详细介绍Springboot前后端分离项目配置跨域实现过程。跨域问题是指在不同的域名、协议或端口之间的资源共享问题。在前后端分离的项目中,前端和后端...
Spring boot整合shiro+jwt实现前后端分离
08-25
本文将介绍如何使用 Spring Boot 框架整合 Shiro 和 JWT 实现前后端分离。 一、Shiro 简介 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会维护。Shiro 提供了身份验证、授权、会话管理、加密等功能,...
thinkphp+jwt实现前后端分离
03-15
本项目是基于Thinkphp6框架和JWT(Json Web Token)技术实现前后端分离示例,旨在帮助开发者理解如何在实际项目中运用这两种技术。 **Thinkphp6** 是一个轻量级、高性能的PHP框架,具有良好的模块化设计,支持MVC...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
Spring Boot+Vue前后端分离项目练习02之网盘项目利用token进行登陆验证
03-02
在本项目"Spring Boot+Vue前后端分离项目练习02之网盘项目利用token进行登陆验证"中,我们将深入探讨如何构建一个基于Spring Boot后端和Vue前端的完整应用程序,重点在于用户注册与token登录验证机制。这个练习旨在...
说一下token 能放在cookie中吗?
m0_74114605的博客
03-24 287
token可以存放在Cookie中,token 是否过期,应该由后端来判断,不该前端来判断,所以token存储在cookie中只要不设置cookie的过期时间就ok了,如果 token 失效,就让后端在接口中返回固定的状态表示token 失效,需要重新登录,再重新登录的时候,重新设置 cookie中的 token就行。(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)。token一般是用来判断用户是否登录的。(用户唯一的身份标识)、(当前时间的时间戳)、
JSON Web Token 入门教程
weixin_34067102的博客
07-24 939
2019独角兽企业重金招聘Python工程师标准>>> ...
cookietoken身份验证
逸尘的专栏
12-18 5894
1. cookie身份验证 用户输入登陆凭据; 服务器验证凭据是否正确,并创建会话,然后把会话数据存储在数据库中; 具有会话id的cookie被放置在用户浏览器中; 服务器验证凭据是否正确,并创建会话; 在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; 一旦用户登出,服务端和客户端同时销毁该会话在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; ...
Springboot优雅的整合Shiro进行登录校验,权限认证(附源码下载)
dingdingdandan
05-03 1799
Springboot-cli 开发脚手架系列 Springboot优雅的整合Shiro进行登录校验,权限认证(附源码下载) 文章目录Springboot-cli 开发脚手架系列简介前言1. 环境2. 简介3. Realm配置4. 核心配置5. 接口编写6. 网页资源7. 效果演示8. 源码分享 简介 Springboo配置Shiro进行登录校验,权限认证,附demo演示。 前言 我们致力于让开发者快速搭建基础环境并让应用跑起来,提供使用示例供使用者参考,让初学者快速上手。 本博客项目源码地址: 项目
Token + Cookie 登录验证
YUAN_YONG_的博客
07-21 1955
一、完整流程 1.登录:通过用户名和密码发送请求。 2.服务器端程序验证用户身份的合法性,若用户存在,服务器端程序则返回一个带签名的token。 3.客户端将token储存到cookie中,并且每次访问API都携带Token到服务端。 4.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码。 二、具体实现 1、用户首次发起登录请求,携带用户名和密码 2、服务端首先进行用户身份校验,若存在该用户,则生成token。 Controller: @ApiOperation("登录") @R
Shiro实现session和jwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1872
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
shiro集成redis实现分布式session和单点登录
热门推荐
luckyxl029的博客
06-08 1万+
shiro是一款出色的权限框架,能够实现诸如登录校验、权限校验等功能,默认情况下,shir将session保存到内存中,这在应用分布式部署的情况下会出现session不一致的问题,所以我们要将session保存到第三方,应用始终从第三方获取session,从而保证分布式部署时session始终是一致的,这里我们采用redis保存session。单点登陆实现逻辑是在用户登陆时,生成token,然后...
springboot+vue前后端分离 + security + JWT 实现token登录
04-04
Spring Boot和Vue.js是两个非常流行的技术栈,可以非常好地实现前后端分离的开发模式。Security和JWT是两个很好的工具,可以帮助我们实现安全的登录和授权机制。 以下是实现Spring Boot和Vue.js前后端分离的步骤: ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值