jwt 如何防止token被拦截_Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo

最新推荐文章于 2024-08-22 15:10:51 发布
最新推荐文章于 2024-08-22 15:10:51 发布
阅读量476 收藏
点赞数
文章标签: jwt 如何防止token被拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35827671/article/details/112500196
版权

优质文章,及时送达

作者:陕西颜值扛把子

来源:zhuanlan.zhihu.com/p/95560389

简介

完整代码:https://github.com/PuZhiweizuishuai/SpringSecurity-JWT-Vue-Deom

运行展示

6934d0e2ae620eae5517501e68e19a39.png 62b3398882afd1f4d51bfc60dcde705b.png 0c5fef6d4a282af314466a869282d3bd.png

后端

主要展示 Spring Security 与 JWT 结合使用构建后端 API 接口。

主要功能包括登陆(如何在 Spring Security 中添加验证码登陆),查找,创建,删除并对用户权限进行区分等等。

ps:由于只是 Demo,所以没有调用数据库,以上所说增删改查均在 HashMap 中完成。

前端

展示如何使用 Vue 构建前端后与后端的配合,包括跨域的设置,前端登陆拦截

并实现 POST,GET,DELETE 请求。包括如何在 Vue 中使用后端的 XSRF-TOKEN 防范 CSRF 攻击

技术栈

41a3361211223c38e63fda924af55c6a.png

实现细节

创建 Spring boot 项目,添加 JJWT 和 Spring Security 的项目依赖,这个非常简单,有很多的教程都有块内容,唯一需要注意的是,如果你使用的 Java 版本是 11,那么你还需要添加以下依赖,使用 Java8 则不需要。

javax.xml.bind
jaxb-api2.3.0

要使用 Spring Security 实现对用户的权限控制,首先需要实现一个简单的 User 对象实现 UserDetails 接口,UserDetails 接口负责提供核心用户的信息,如果你只需要用户登陆的账号密码,不需要其它信息,如验证码等,那么你可以直接使用 Spring Security 默认提供的 User 类,而不需要自己实现。

public class User implements UserDetails {
private String username;
private String password;
private Boolean rememberMe;
private String verifyCode;
private String power;
private Long expirationTime;
private List authorities;
/**
* 省略其它的 get set 方法
*/
@Override
public Collection extends GrantedAuthority> getAuthorities {
return authorities;
}
@Override
public String getPassword {
return password;
}
@Override
public String getUsername {
return username;
}
@Override
public boolean isAccountNonExpired {
return true;
}
@Override
public boolean isAccountNonLocked {
return true;
}
@Override
public boolean isCredentialsNonExpired {
return true;
}
@Override
public boolean isEnabled {
return true;
}
}

User

这个就是我们要使用到的 User 对象,其中包含了 记住我,验证码等登陆信息,因为 Spring Security 整合 Jwt 本质上就是用自己自定义的登陆过滤器,去替换 Spring Security 原生的登陆过滤器,这样的话,原生的记住我功能就会无法使用,所以我在 User 对象里添加了记住我的信息,用来自己实现这个功能。

JWT 令牌认证工具

首先我们来新建一个 TokenAuthenticationHelper 类,用来处理认证过程中的验证和请求

public class TokenAuthenticationHelper {
/**
* 未设置记住我时 token 过期时间
* */
private static final long EXPIRATION_TIME = 7200000;

/**
* 记住我时 cookie token 过期时间
* */
private static final int COOKIE_EXPIRATION_TIME = 1296000;

private static final String SECRET_KEY = "ThisIsASpringSecurityDemo";
public static final String COOKIE_TOKEN = "COOKIE-TOKEN";
public static final String XSRF = "XSRF-TOKEN";

/**
* 设置登陆成功后令牌返回
* */
public static void addAuthentication(HttpServletRequest request, HttpServletResponse response, Authentication authResult) throws IOException {
// 获取用户登陆角色
Collection extends GrantedAuthority> authorities = authResult.getAuthorities;
// 遍历用户角色
StringBuffer stringBuffer = new StringBuffer;
authorities.forEach(authority -> {
stringBuffer.append(authority.getAuthority).append(
shashashalalala
关注
超实用,Spring Security+JWT+Vue实现一个前后端分离状态认证Demo
bishe_teacher的博客
06-30 335
超实用,Spring Security+JWT+Vue实现一个前后端分离状态认证Demo 简介 完整代码: https://github.com/PuZhiweizuishuai/SpringSecurity-JWT-Vue-Deom 运行展示 超实用,Spring Security+JWT+Vue实现一个前后端分离状态认证Demo 超实用,Spring Security+JWT+Vue实现一个前后端分离状态认证Demo 超实用,Spring Security+JWT+Vue实现一个前后端分离状态
spring boot+spring security+jwt+vue整合前后端分离token权限认证项目详细过程代码 含AES加密
m0_47576928的博客
07-21 1364
准备前提条件:已搭好一个spring boot后台项目及vue前台项目 目录 一、后台 1、依赖 2、继承WebSecurityConfigurerAdapter适配器 3、自定义用户名密码校验 MyAuthenticationProvider 4、登录成功处理逻辑 CustomizeAuthenticationSuccessHandler 5、登录失败处理逻辑 CustomizeAuthenticationFailureHandler 6、匿名用户访问无权限资源时的异常处理 Customi
springboot entity date_SpringBoot+JWT实战(附源码)
weixin_39820136的博客
11-26 141
在阅读本文之前,我们还应该对session、cookie、JWT一个基本的了解。在本篇文章中小码仔不再对它们做出过多赘述,如果对这三者认识还不够清晰的小可爱可以先移步这里:看完这篇 Session、Cookie、Token,和面试官扯皮就没问题了对其做基本的了解和认识。如果你已对以上三者有了的基本概念和了解,但是对于JWT的使用还充满疑问的话,那么本篇文章就是为你而写。本文我们将使用Spring...
jet token过期是定时的还是无操作_JWT在开发中的实战操作(附带生产级别代码)...
weixin_39904522的博客
11-21 318
熬夜熬到差不多晚上2点写的,有用的兄弟,必须给我一个关注和大大的赞了!!!!发了上一篇 jwt 相关后 后反响热烈。如果没有来得及去看的话建议先看上一篇。但是也遗留了一些问题。应广大读者的要求。所以从实战角度出发解决这些问题。我们基于 springboot 2.1.6.RELEASE 版本搞一些操作来演示如何在实际开发中使用jwt。主要依赖如下通过spring securityjwt 进行结合...
spring Security + jwt使用
最新发布
wenlai123456的博客
08-22 1329
spring Security + jwt
jwt 如何防止token拦截_SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
weixin_42501373的博客
02-26 427
一、传统Session认证1、认证过程1、用户向服务器发送用户名和密码。2、服务器验证后在当前对话(session)保存相关数据。3、服务器向返回sessionId,写入客户端 Cookie。4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。5、服务器收到 sessionId,验证客户端。2、存在问题1、session保存在服务端,客户端访问高并发时,服务端压力大。2...
SpringSecurity+vue3搭建项目
盛世繁华
02-21 1111
使用SpringSecurity+vue3搭建项目 这里主要记录一下在使用SpringSecurityvue3配合时遇到的问题 1、配置部分URL允许访问 : 需要在allRequest().authenticed()方法前指定允许未经认证的访问URL 2、配置跨域,要严格按照官方给出的允许跨域例子来配置 3、csrf()一定要关掉,否则SpringSecurity 的login接口不会接收来自axios的登陆请求 4、使用axios请求SpringSecurity的登陆接口时请求头是要使用提交表单的请求
Spring Security中使用token
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security认证与授权是分开的:
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于springboot+vue实现进销存管理系统前后端分离(springboot+vue+mybatis+JWT+shiro)
08-24
系统功能如下: ┌─销售管理 │ ├─销售报价 │ ├─销售订单 │ └─销售统计 ├─采购管理 │ ├─采购申请 │ ├─采购询价 │ ├─采购报价 │ ├─采购比价 │ ├─采购订单 │ ├─采购预付申请 ...
Springboot+SpringSecurity+CAS+Jwt+Mybatis+DM+Vue+Axios前后端分离跨域问题解决(一)
jhack607的专栏
11-28 2487
技术标题:Springboot+SpringSecurity+CAS+Jwt+Mybatis+DM+Vue+Axios前后端分离 背景资料查询:网络上99%的文章大多是CSDN、博客园、github、gitee、codercto、segmentfault、简书、 cnblogs、360doc、voidcn、https://spring.io/projects/spring-sec...
19.SpringSecurity存在的问题及解决方案
自能生羽翼,何必仰云梯
09-14 1128
一般情况下 ,Spring Security 应用在一个单体项目中,此时只存在一个独立的项目,你访问一个资源,需要输入用户名和密码就行了随着软件环境和需求的变化,软件的架构通常都会由单体结构演变成具有分布式架构的分布式系统。而分布式系统的每个服务都会有认证、授权的需求。如果每个服务都实现一套认证逻辑,就会非常冗余并且不现实。而针对分布式系统的特点,一般就会需要一套独立的第三方系统来提供统一的授权认证服务。
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
SpringSecurity+自定义登录界面+JwtToken+拦截器+前后端分离
qq_47737949的博客
01-23 3312
SpringSecurity+自定义登录界面+JwtToken+拦截器+前后端分离
使用shiro/spring security拦截器Filter,整合jwttoken进行校验【shiro/spring security 拦截token
世上哪有什么岁月静好,不过是有人替你负重前行
05-18 1863
默认的拦截器 下面的代码为请求声明其拦截器的类型 filterChainDefinitionMap.put("/login/index","anon"); filterChainDefinitionMap.put("/**","authc"); 整合了shiro安全框架后,当运行一个Web应用程序时,Shiro将会创建一些有用的默认 Filter 实例,并自动地将它们置为可用,而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的,当然我们也可以自定义 Filter 实例 常用的主
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 6638
Spring Security 自定义拦截器Filter 实现登录认证
springsecurity的登录实现拦截
weixin_42053164的博客
07-14 1236
好久没复习springsecurity了,想要回忆它是如何拦截“注册”和“登录”功能的,我一开始能想到:注册页面的获取和注册不会拦截;访问需要权限的功能会被拦截,并且返回登录界面,然后用户进行登录操作。那么这时的认证url是否会被拦截呢?如果被拦截,需要已登录,那么就陷入了死循环了!显然不会被拦截,那么系统就要专门实现一个认证功能,然后把用户对象放入session中。我大致就能想到这一步了。 后来看了教程代码,发现它专门有个登录标签!看来认证功能也要拦截,不过不是返回登录界面,而是需要实现自定义的用户认证
关于在SpringBoot项目中创建了过滤器后,被拦截下来的请求跨域设置失效的原因及处理
weixin_48469176的博客
02-06 2705
关于在SpringBoot项目中创建了过滤器后,被拦截下来的请求跨域设置失效的原因及处理
springboot+vue前后端分离 + security + JWT 实现token登录
04-04
以上是实现Spring Boot和Vue.js前后端分离的步骤,我们可以使用SecurityJWT实现安全的登录和授权机制。这种开发模式可以让我们更好地实现前后端分离,提高我们的开发效率和应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值