JWT实现跨域登录校验

最新推荐文章于 2024-06-04 10:07:29 发布
最新推荐文章于 2024-06-04 10:07:29 发布
阅读量663 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39314420/article/details/105295386
版权

JWT实现跨域登录校验

需求

需求背景:项目前后端分离,前端页面在一个服务器上,后台接口在另一个服务器,也就是非同源跨域请求。页面通过调用接口获取数据并对数据库进行crud的操作,并需要在用户登录的条件下进行操作,这里我们利用JWT(Json Web Token)解决跨域获取登录用户信息的问题。

思路

1.首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTPPOST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
2.后端核对用户名和密码成功后,将用户的id等其他信息作为JWT
Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串。
3.后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。
4.前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)
5.后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
6.验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

用法

1.前端服务器页面点击登录填写登录信息
在这里插入图片描述
在这里插入图片描述
这里页面登录通过ajax jsonp 实现跨域请求后台服务器登录接口,下面代码后台登录代码,登录成功生成token。

	@RequestMapping(value = "login",produces = "text/script;charset=UTF-8")
	@ResponseBody
	public String login(HttpServletRequest request, HttpServletResponse response,String callback,String userName,String passWord) {
		Map<String,Object> map =MapUtils.newHashMap();
		if(StringUtils.isNotBlank(userName)&&StringUtils.isNotBlank(passWord)){
			User user = UserUtils.getByLoginCode(userName);
			if(user!=null&&StringUtils.isNotBlank(user.getUserCode())){
				if(user.getPassword().equals(passWord)){
					//生成jwt token
					String token = JwtUtils.geneJsonWebToken(user);
					map.put("result","true");
					map.put("message","登录成功!");
					map.put("token",token);
					org.json.JSONObject object = new org.json.JSONObject(map);
					return callback + "(" + object.toString() + ")";
				}else{
					map.put("result","false");
					map.put("message","登录失败,密码有误!");
					org.json.JSONObject object = new org.json.JSONObject(map);
					return callback + "(" + object.toString() + ")";
				}
			}else{
				map.put("result","false");
				map.put("message","登录失败,用户不存在!");
				org.json.JSONObject object = new org.json.JSONObject(map);
				return callback + "(" + object.toString() + ")";
			}
		}else{
			map.put("result","false");
			map.put("message","登陆失败,用户名或密码不能为空!");
			org.json.JSONObject object = new org.json.JSONObject(map);
			return callback + "(" + object.toString() + ")";
		}
	}

下面是JwtUtils代码

package com.jeesite.common.jwt;

import com.jeesite.modules.sys.entity.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * jwt工具类
 */
public class JwtUtils {


    public static final String SUBJECT = "xdclass";

    //public static final long EXPIRE = 1000*60*60*24*7;  //过期时间,毫秒,一周
    public static final long EXPIRE = 1000*60*10;  //过期时间,毫秒,一周
    //秘钥
    public static final  String APPSECRET = "xd666";

    /**
     * 生成jwt
     * @param user
     * @return
     */
    public static String geneJsonWebToken(User user){

        if(user == null || user.getId() == null || user.getUserCode() == null
                || user.getPassword()==null){
            return null;
        }
        String token = Jwts.builder().setSubject(SUBJECT)
                .claim("id",user.getId())
                .claim("userName",user.getUserCode())
                .claim("passWord",user.getPassword())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis()+EXPIRE))
                .signWith(SignatureAlgorithm.HS256,APPSECRET).compact();

        return token;
    }


    /**
     * 校验token
     * @param token
     * @return
     */
    public static Claims checkJWT(String token ){

        try{
            final Claims claims =  Jwts.parser().setSigningKey(APPSECRET).
                    parseClaimsJws(token).getBody();
            return  claims;

        }catch (Exception e){
            e.printStackTrace();
        }
        return null;

    }



}

登录校验成功后,把token存在map中连着登录信息一起返回给前台页面,页面获取到token后使用locationstorage把token存到浏览器中(locationstorage可当做大型号的cookie使用,想了解可以自己搜一下)

<script>
    function submit() {
        var userName = $("#userName").val();
        var passWord = $("#passWord").val();
        $.ajax({
            type:"post",
            url:"http://192.168.11.5:8081/js/a/pm/pmAuctionProcess/login",
            data:{'userName': userName,'passWord':passWord},
            dataType:"jsonp",
            crossDomain:true,
            jsonpCallback:"jsonpCallbackFun",
            jsonp:"callback",
            success:function(data){
				if(data!=null&&data['result']=="true"){
					$.MsgBox.Alert("消息", data['message']);
					console.log(data);
				if(!window.localStorage){
            alert("浏览器支持localstorage");
        }else{
            var storage=window.localStorage;
            //写入a字段
            storage["token"]=data['token'];
            console.log(storage.token);
        }
				}
                

            },
            error: function() {
            }
        });
    }
</script>

这时已经存到浏览器的locationstorage中了
在这里插入图片描述
然后页面通过jsonp请求获取后台数据时,在data参数中加上这个token传到后台进行校验

    @RequestMapping(value = "getData",produces = "text/script;charset=UTF-8")
    @ResponseBody
    public String getData(String goodsCode,String token, HttpServletRequest request, HttpServletResponse response,String callback) {
        //解析token获取用户信息
        User user = getUserByToken(token);
        .........
        }

/**
     * 解析token获取用户
     * @param token
     * @return
     */
    public User getUserByToken(String token){
        Claims claims= JwtUtils.checkJWT(token);
        System.out.println(claims);
        User user = new User();
        if(claims!=null){
            user = UserUtils.get(claims.get("id").toString());
        }
        return user;
    }

每次访问后台接口都要先通过传来的token进行身份校验再进行访问。退出登录后,页面将locationstorage 清理掉即可!

星星的猩猩
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
SpringBoot使用Jwt处理跨域认证问题的教程详解 SpringBoot使用Jwt处理跨域认证问题是目前前后端开发中常见的问题,本文将详细介绍如何使用Jwt处理跨域认证问题。 首先,为什么需要用户认证呢?原因是由于HTTP协议...
利用JWT实现跨域单点登录一个创新的开源解决方案
最新发布
gitblog_00061的博客
06-04 304
利用JWT实现跨域单点登录一个创新的开源解决方案 项目地址:https://gitcode.com/Aralink/ssojwt 在数字世界中,安全便捷的身份验证是用户体验的关键环节。今天,我们向您推荐一个名为“Cross domain Single Sign-on with Json Web Tokens”的开源项目。这个项目利用JSON Web Tokens(JWT)技术,帮助开发者轻松实现...
没有为集成身份验证配置驱动程序_JAVA学习资源——JeeSite4+jwt集成
weixin_39962125的博客
12-03 167
源码+视频 获取QQ:3211247533jeesite4+jwt集成1、 追加JWT 跨域身份认证公共类2、 添加jwttoken 身份认证信息类3、 自定义jwt 请求filter以及自定义shiro realm 权限类4、 将JwtAuthorizingRealm添加到shiro配置中心《2020年 JeeSite4+Android APP开发实战教程》JeeSite4 移动端APP 开发视...
jeesite实战(三十二)——不登录直接获得token
Garnett_zk的博客
12-08 1182
系列文章目录 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 SSO单点登录系列文章目录前言一、背景二、实现过程1.shiro配置2.编写测试接口3.注意事项4.访问结果总结 前言 本系列文章主要记录项目过程中重点的项目技术 一、背景 基于上篇文章,我想能不能不登录直接获得token的值呢,下面是我的实现方法;基于此办法可以实现登录获得接口相关数据 二、实现过程 1.shiro配置 在web模块的application.yml文件中,找到如下内容,启用如下配置,使得如下图 #
详解使用JWT实现单点登录(完全跨域方案)
12-02
首先介绍一下什么是JSON Web Token(JWT)? 官方文档是这样解释的:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Vue路由之JWT身份认证的实现方法
12-10
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案,相较于session机制,服务器就不需要保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。JWT 实际上是一个令牌(Token),...
springboot整合 shrio+jwt登录及权限控制.rar
05-20
在本文中,我们将深入探讨如何在Spring Boot应用中整合Shiro和JWT(JSON Web Token)以实现用户登录和接口权限控制。Spring Boot以其简洁、快速的特性被广泛应用于开发Java Web应用,而Shiro和JWT则分别是安全管理...
jeesite用户登录功能解析
weixin_40595244的博客
01-04 5065
登录功能路径分析 一般是在浏览器中输入 http://localhost:8080/jeesite-web,页面就自动跳转到登录页面。 http://localhost:8080/jeesite-web/a/login;JSESSIONID=de2270616b1548069e3ec44c95022821 在spring-mvc.xml中,第82行中配置了无Controller的path-...
基于 Token 的身份验证和安全问题
CG国斌的博客
02-13 2万+
1 前言最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。2 基于 Token 的身份验证方法使用基于
同一账户在不同地方登录问题
L的博客
06-14 1270
其实就是以用户最后一次登录的为准。其他登录的地方全部提示:你已经下线,是否重新登录。从而保护你的操作信息是安全的。随机产生一个uuid,然后设置一个键key,比如下面两个key中的一个,然后再设置UserBo,也要将这个uuid回传前端 然后编写前端传给后端所要经过的拦截器 如果该用户在另一处登录覆盖redis中的tokenuuid,如果你还是从前端向后端传原来的tokenuuid,拦截器中和redis中的tokenuuid比较,发现不相同,报出异常在异地登录。 key = sys:login:+u
JWT——跨域认证解决方案
mmklo的博客
10-05 1937
官方定义:其大致意思就是:JWT一个以JSON格式传输信息,且传输过程中是安全的,因为他有数字签名,所以可以做验证(其中的加密或者签名算法有RSA/CDSA)自我理解就是:通过以JSON的形式把数据封装成一个令牌,用于保证数据交互过程中的安全性(在传输过程中可以进行加密和签名)。
整合token和cookie实现登陆及验证,实现跨域前后端分离
四十岁后转行程序员的博客
06-22 1917
session管理支持cookie token两种方式
使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能
francis的博客
03-18 1万+
使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能,也就是说在登录状态未失效的情况下,下一次登录必须踢掉上一次的登录。如果我们不做限制的话,单个账号多次登录产生多个token,只要未过期就都能调用接口。可能第一反应想,用JWT实现token手动强行过期,然而JWT并未提供此功能,那么我们在项目中应该如何优雅的解决这个问题呢?<继上篇> 使用redi...
使用jwt技术实现系统间的单点登录
热门推荐
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
jwt和redis实现token校验的优劣
05-27
3. 可扩展性:JWT 可以很容易地与其他技术集成,如 OAuth、SAML 等,可以实现单点登录跨域身份验证。 JWT 实现 Token 校验的缺点: 1. 无法注销:一旦颁发了 JWT,就无法撤回或注销,除非等到 JWT 过期或更改密钥...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值