前后端分离应用——用户信息传递

最新推荐文章于 2024-02-17 12:01:37 发布
最新推荐文章于 2024-02-17 12:01:37 发布
阅读量643 收藏 3
点赞数
文章标签: 后端 java json
原文链接:https://juejin.im/post/5c32efccf265da61141cc26c
版权
本文介绍了在前后端分离的系统中,如何安全地传递用户信息。从单体应用到分布式应用,详细阐述了登录签发token的过程,以及在请求头中携带token进行鉴权的方法。在分布式环境下,通过Dubbo的Header交换机制解决了跨进程传递用户信息的问题。
摘要由CSDN通过智能技术生成

前言

记录前后端分离的系统应用下应用场景————用户信息传递

需求缘起

照例先看看web系统的一张经典架构图,这张图参考自网络:

在 Dubbo 自定义异常,你是怎么处理的? 中已经对该架构做了简单说明,这里不再描述。

简单描述下在该架构中用户信息(如userId)的传递方式

现在绝大多数的项目都是前后端分离的开发模式,采用token方式进行用户鉴权:

  • 客户端(pc,移动端,平板等)首次登录,服务端签发token,在token中放入用户信息(如userId)等返回给客户端
  • 客户端访问服务端接口,需要在头部携带token,跟表单一并提交到服务端
  • 服务端在web层统一解析token鉴权,同时取出用户信息(如userId)并继续向底层传递,传到服务层操作业务逻辑
  • 服务端在service层取到用户信息(如userId)后,执行相应的业务逻辑操作

问题:

为什么一定要把用户信息(如userId)藏在token中,服务端再解析token取出?直接登录后向客户端返回用户信息(如userId)不是更方便么?

跟用户强相关的信息是相当敏感的,一般用户信息(如userId)不会直接明文暴露给客户端,会带来风险。

单体应用下用户信息(如userId)的传递流程

什么是单体应用? 简要描述就是web层,service层全部在一个jvm进程中,更通俗的讲就是只有一个项目

登录签发 token

看看下面的登录接口伪代码:

web层接口:

    @Loggable(descp = "用户登录", include = "loginParam")
    @PostMapping("/login")
    public BaseResult<LoginVo> accountLogin(LoginParam loginParam) {
        return mAccountService.login(loginParam);
    }
复制代码

service层接口伪代码:

public BaseResult<LoginVo> login(LoginParam param) throws BaseException {
        //1.登录逻辑判断
        LoginVo loginVo = handleLogin(param);
        //2.签发token
        String subject = userId; 
        String jwt = JsonWebTokenUtil.issueJWT(UUID.randomUUID().toString(), subject,
                "token-server", BaseConstants.TOKEN_PERIOD_TIME, "", null, SignatureAlgorithm.HS512);
        loginVo.setJwt(jwt);
        return ResultUtil.success(loginVo);
    }
复制代码

注意到上述伪代码中,签发token时把userId放入客户标识subject中,签发到token中返回给客户端。这里使用的是JJWT生成的token

引入依赖:

        <!--jjwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.fasterxml.jackson.core</groupId>
            <artifactId>jackson-databind</artifactId>
            <version>2.8.9</version>
        </dependency>
复制代码

相关工具类JsonWebTokenUtil

public class JsonWebTokenUtil {
    //秘钥
    public static final String SECRET_KEY = BaseConstant.SECRET_KEY;
    private static final ObjectMapper MAPPER = new ObjectMapper();
    private static CompressionCodecResolver codecResolver = new DefaultCompressionCodecResolver();
    
    //私有化构造
    private JsonWebTokenUtil() {
    }
    /* *
     * @Description  json web token 签发
     * @param id 令牌ID
     * @param subject 用户标识
     * @param issuer 签发人
     * @param period 有效时间(秒)
     * @param roles 访问主张-角色
     * @param permissions 访问主张-权限
     * @param algorithm 加密算法
     * @Return java.lang.String
     */
    public static String issueJWT(String id,String subject, String issuer, Long period,
                                  String roles, String permissions, SignatureAlgorithm algorithm) {
        // 当前时间戳
        Long currentTimeMillis = System.currentTimeMillis();
        // 秘钥
        byte[] secreKeyBytes = DatatypeConverter.parseBase64Binary(SECRET_KEY);
        JwtBuilder jwtBuilder = Jwts.builder();
        if (StringUtils.isNotBlank(id)) {
            jwtBuilder.setId(id);
        }
        if (StringUtils.isNotBlank(subject)) {
            jwtBuilder.setSubject(subject);
        }
        if (StringUtils.isNo
最低0.47元/天 解锁文章
weixin_34187862
关注
深入理解java.lang.IllegalArgumentException异常
博客
08-02 4万+
IllegalArgumentException是Java的一个标准异常类,继承自RuntimeException类。当方法接收到一个非法或不合理的参数时,就会抛出该异常。本篇博客深入探讨了java.lang.IllegalArgumentException异常的相关知识。我们了解了异常的概念和分类,以及异常处理机制。然后,重点介绍了IllegalArgumentException异常的定义、继承关系和触发条件。接着,我们讨论了该异常在方法参数校验、构造方法参数校验和API调用参数校验等常见场景中的应用
【工具类】当前登陆用户 UserContext
snailisBigbull的博客
09-08 3030
2.4.UserContext保存登录用户 2.4.1.为什么需要 //以下获取当前登录用户存在问题如下: //1 到处都散落获取当前登录用户代码 //2 以后不用shiro所有的地方都要改变 //解决方案:封装一个方法获取当前登录用户,以后变了只需要修改这个方法就ok了 Subject currentUser = SecurityUtils.getSubject(); Object loginU...
JWT String argument cannot be null or empty.
duanmy的博客
08-11 1万+
JWT String argument cannot be null or empty. 缺少token
前后端分离中获取不到请求头中的token
weixin_63549044的博客
09-02 1936
JWT String argument cannot be null or empty
java.lang.IllegalArgumentException: Cannot pass null or empty values to constructor at org.springf
romantic6666的博客
03-19 1527
我在做springsecurity和jwt结合的时候测试出现了问题,我想要测试创建token,就必须去builder springsecurity里面的User,但是在这里出现了问题。所以我在我的测试类中加上了password,密码随意。我们可以很清晰的发现他需要一个password。而我却缺失了password,所以抛出了异常。我们打一个断点,进到builder里面。结果自然是测试成功的。
java token 超时_前后端分离——token超时刷新策略
weixin_28689729的博客
02-16 1337
前言记录一下前后端分离下————token超时刷新策略!需求场景昨天发了一篇记录 前后端分离应用——用户信息传递 中介绍了token认证机制,跟几位群友讨论了下,有些同学有这么一个疑惑:token失效了,应该怎么做?强制定向到登录页?其实理论上如果是活跃用户,token失效后,假如用户正在操作表单,此时突然定向到登录页面,那用户体验太差了。实现目标延长token过期时活跃用户在token过期时...
node+vue3+mysql前后分离开发范式——实现视频文件上传并渲染
最新发布
编程知识分享,主打前端
02-17 2万+
大家好,我是yma16,本文分享关于 node+vue3+mysql前后分离开发范式——实现对数据库表的增删改查。技术选型前端:vite+vue3+antd后端:node koa数据库:mysqlkoa是一个现代的Node.js框架,可以用来构建Web应用程序。Node.js的mime库Node.js的mime库是用于根据文件扩展名获取对应的MIME类型的库。MIME类型是用于标识文件类型的一种标准,它在互联网通信中起到了非常重要的作用。
JAVA前后端分离OA系统(公众号:代码奇才).zip
06-28
系统——"JAVA前后端分离OA系统",是基于JAVA技术栈和现代前端框架实现的一款高效、便捷的办公管理工具,旨在提升企业的运营效率和管理水平。其主要技术栈包括Spring MVC、Spring、MyBatis框架以及Vue.js前端框架...
前后端分离、或APP用户登录解决方案——JWT(json web token)生成Token详解!
一亩地的专栏
01-22 3700
JWT简介 JWT(json web token)是为了在网络应用环境传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi...
JWT创建token报错:secret key byte array cannot be null or empty.
weixin_61321344的博客
09-14 1072
**在springboot项目的测试单元中,测试一个利用JWT来产生token报错:java.lang.IllegalArgumentException: secret key byte array cannot be null or empty.**
‘IOError: codec configuration error when reading image file‘
@Elaine
03-05 1007
'IOError: codec configuration error when reading image file' 添加: from PIL import Image, ImageFile ImageFile.LOAD_TRUNCATED_IMAGES = True 已应用,已解决
已解决java.lang.IllegalArgumentException异常的正确解决方法,亲测有效!!!
热门推荐
小明的Java问道之路
01-07 3万+
IllegalArgumentException是由于传递给方法的参数非法或不正确而引发的,要解决这个问题,需要在调用方法前验证输入,并在方法内部使用断言来检查参数的有效性。
java.lang.IllegalArgumentException
seinonana的博客
02-10 5190
java.lang.IllegalArgumentException: secret key byte array cannot be null or empty.翻译为方法的参数错误:密钥的字节数组不能为空或null。 开始以为是没有JWT的密钥属性没有获取到application.yml中的配置文件,后来发现是JWT的密钥属性不能太短!加盐要多加点。 ...
借助Dubbo过滤器实现服务传值
u014240299的专栏
10-08 703
你知道的越多,不知道的也越多! 基于现在的微服务架构,一个系统背后可能是几十个service去做支撑。那如何在多个服务传递值呢? 场景描述: 一个用户下单某个商品,中涉及到的服务有 (1)网关service -> (2)某个业务service -> (3)订单中心service -> (4)支付中心service… 这几个服务其实都需要用到用户身份。 首先网关service需要完成 用户身份校验的工作,当解析出用户信息的时候,如何传递到下游服务呢? 不可能说用参数形式吧? 因为这.
Dubbo透传traceId/logid的一种思路
weixin_33816300的博客
06-26 654
  前言:   随着dubbo的开源, 以及成为apache顶级项目. dubbo越来越受到国内java developer欢迎, 甚至成为服务化自治的首选方案. 随着微服务的流行, 如何跟踪整个调用链, 成了一个课题. 大家能够达成一致的思路, 在调用中添加traceId/logid信息, 至于如何实现, 各家都有自己的思路.   本文将对比几种方案, 重点讲解利用dubbo的自定义filter...
dubbo服务之传递用户信息
qq_39912676的博客
08-28 3322
公司的服务需要拆分了,调研过后采用决定采用dubbo进行分布式服务拆分,在分布式的环境下,用户信息或者链路日志id需要在不同分布式服务之传递,这里记录下实现方式: 首先导入依赖,pom如下 <!-- dubbo依赖 --> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo-s..
dubbo的用法(服务之的传输)
沉浸式Study
07-10 3688
1.1.Dubbo的使用 用于一个公司下不同项目件的业务调用(json格式传输),多个公司可以使用webService(xml格式传输) 节点角色说明: Provider: 暴露服务的服务提供方。 Consumer: 调用远程服务的服务消费方。 Registry: 服务注册与发现的注册中心。 Monitor: 统计服务的调用次调和调用的监控中心。 Cont...
HTTP Status 500 - java.lang.IllegalArgumentException: Wildcard string cannot be null or empty. Make
灯火的博客
08-02 9590
  type Exception report message java.lang.IllegalArgumentException: Wildcard string cannot be null or empty. Make sure permission strings are properly formatted. description The server encountered ...
前后端分离技术在Web开发框架中的应用研究
在现代Web开发中,前后端分离技术已经成为构建高效、可维护的Web应用程序的关键实践。该技术的核心思想是将前端和后端的功能职责明确划分,使得前端专注于用户体验和界面交互,而后端则专注于数据处理和服务提供。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值