前后端分离项目token怎么验证_前后端分离项目——登录Token校验思路

最新推荐文章于 2024-07-28 16:55:17 发布
最新推荐文章于 2024-07-28 16:55:17 发布
阅读量3.4k 收藏 5
点赞数
文章标签: 前后端分离项目token怎么验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39586825/article/details/111529077
版权
本文介绍了在前后端分离项目中实现登录Token验证的思路。前端在登录成功后将token存入sessionStorage,并在请求时放入header。后端通过拦截器检查token的有效性,若无效则拒绝请求。此外,前端对特定路由进行登录状态判断,以实现页面级别的权限控制。
摘要由CSDN通过智能技术生成

前言

根据token校验当前用户登录状态是Web项目的常见手段,我给自己的项目做token校验功能时,发现网上很多文章代码高度相似,实现的思路也差不多(基本都是前端校验后从router入手去做页面拦截)。所以想自己写一篇文章记录一下自己实现的思路,实现功能的前提在于需求,希望能够给相关开发人员一个参考。

需求思考

对token的校验分为前端和后端

对后台来说,并不是所有的请求都需要用户登录后才可以执行,所以需要后台去鉴别需要拦截的需求,用户是否满足已登录的状态。

对前端来说,也并不是用户没有登录,就一定不允许访问某个页面,可能只是说不允许访问某个页面的某些功能而已。所以使用router进行登录校验的时候,不要一棒子打死,最好是先确定好想要实现什么样的功能,再去设计代码。

代码实现思路

用户前端登录成功,后台将用户的唯一token存入redis(有效期30min)中,并返回给前端

前端接收到token后,将其存放到session缓存,每次发起请求时将token封装到请求头head中

后台根据token是否有效,无效则拒绝请求

前端返回结果

一、环境介绍

前端: Vue-Cli 2.x + axios

后端:SpringBoot 2.3.4

二、前端代码

1、成功登录后回调函数封装用户token和userId(为什么要传userId后面会说)

image.png

2、token和userId放在全局参数store中

const user = {

state: {

userId: '',

userToken: '', // 用户token,用户确认当前用户是否登录

},

getters: {

userId: state => {

let userId = state.userId;

if(!userId){

userId = JSON.parse(window.sessionStorage.getItem('userId'));

}

return userId;

},

userToken: state => {

let userToken = state.userToken;

if(!userToken){

userToken = JSON.parse(window.sessionStorage.getItem('userToken'));

}

return userToken;

},

},

mutations: {

setUserId: (state,userId) => {

state.userId = userId;

window.sessionStorage.setItem('userId',JSON.stringify(userId));

},

setUserToken: (state,userToken) => {

state.userToken = userToken;

window.sessionStorage.setItem('userToken',JSON.stringify(userToken));

},

}

}

export default user;

这里的话,userToken和userId放到sessionStorage是关键步骤

3、使用 axios.interceptors.request.use对axios的请求进行统一拦截,封装token和userId

import axios from 'axios';

import router from '../router';

// 设置请求拦截器

axios.interceptors.request.use(function (config) {

// Do something before request is sent

//window.localStorage.getItem("accessToken") 获取token的value

let token = JSON.parse(window.sessionStorage.getItem('userToken'));

let userId = JSON.parse(window.sessionStorage.getItem('userId'));

if (token && userId) {

//将token放到请求头发送给服务器,将tokenkey放在请求头中

console.log(token);

console.log(userId);

config.headers.userId = userId;

config.headers.userToken = token;

//也可以这种写法

// config.headers['accessToken'] = token;

}

return config;

}, function (error) {

// Do something with request error

return Promise.reject(error);

});

三、后端

后端主要是使用拦截器来进行请求的拦截和校验

1、定义拦截器

package com.qiqv.music.controller.interceptor;

import com.qiqv.music.utils.JSONUtils;

import com.qiqv.music.utils.QiqvJSONResult;

import com.qiqv.music.utils.RedisOperator;

import org.apache.commons.lang3.StringUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.OutputStream;

/**

* 自定义拦截器类

*/

public class MiniInterceptor implements HandlerInterceptor {

@Autowired

private RedisOperator redisOperator;

// token规则为 user-reids-token:userId : UUID

private static String USER_REDIS_TOKEN = "user-redis-token";

/**

* 判断用户是否登录

* 若用户userId不存在,则为未登录

* 若用户userId存在,则判断token是否存在

* 若存在,则用户状态为已登录

* 若不存在,则用户状态为登录超时

* @param request

* @param response

* @param handler

* @return

* @throws Exception

*

*/

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

// 如果是 嗅探请求,则直接放行

if("OPTIONS".equals(request.getMethod())){

return true;

}

String userId = request.getHeader("userId");

String userOldToken = request.getHeader("userToken");

if(StringUtils.isNotBlank(userId) && StringUtils.isNotBlank(userOldToken)){

String userTokenKey = USER_REDIS_TOKEN + ":" + userId;

String userToken = redisOperator.getValue(userTokenKey);

// 用户有token,但最新token为空,说明登录状态过期

if(StringUtils.isBlank(userToken)){

returnErrorResponse(response,QiqvJSONResult.noAuth("登录过期,请重新登录"));

return false;

}

// 两个token不一致,可能是恶意用户乱填token

if(!userOldToken.equals(userToken)){

returnErrorResponse(response,QiqvJSONResult.noAuth("无效token,请重新登录"));

return false;

}

}else{

System.out.println("该用户没有登录");

returnErrorResponse(response,QiqvJSONResult.noAuth("请登录后再操作"));

return false;

}

return true;

}

public void returnErrorResponse(HttpServletResponse response, QiqvJSONResult qiqvJSONResult) throws IOException {

OutputStream outputStream = null ;

try {

response.setContentType("application/json");

response.setCharacterEncoding("utf-8");

outputStream = response.getOutputStream();

outputStream.write(JSONUtils.objectToJson(qiqvJSONResult).getBytes("UTF-8"));

outputStream.flush();

} catch (IOException e) {

e.printStackTrace();

}finally {

if(outputStream != null){

outputStream.close();

}

}

}

}

解释一下思路:

使用userId作为用户登录的唯一key值,UUID作为value。存放在redis中,30min后过期

由于请求还未到controller,所以转换结果的时候需要手动转一下json

2、注册拦截器

package com.qiqv.music.config;

import com.qiqv.music.controller.interceptor.MiniInterceptor;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.CorsRegistry;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

import java.util.Arrays;

import java.util.List;

@Configuration

public class WebMvcConfig extends WebMvcConfigurerAdapter {

@Bean

public MiniInterceptor miniInterceptor(){

return new MiniInterceptor();

}

/**

* 设置拦截的url路径

* 暂时只针对前端用户评论、收藏、评分功能进行拦截

* @param registry

*/

@Override

public void addInterceptors(InterceptorRegistry registry){

List listOfVerify = Arrays.asList("/consumer/**","/rank/rateSongList","/collect/**","/comment/**");

List listOfExc = Arrays.asList("/consumer/login","/consumer/queryUserById","/consumer/getAllConsumer","/collect/getUserCollect","/comment/query**","/comment/allComment");

registry.addInterceptor(miniInterceptor()).addPathPatterns(listOfVerify)

.excludePathPatterns(listOfExc);

super.addInterceptors(registry);

}

}

这里的话,针对需要拦截的路径和需要放行的路径进行配置就行

关于redisTemple的引入这里就不再赘述。

到这里为止,前后端的token就都做完了,后面就再讲讲前端的一些其他思路吧

对于登录状态的判断,前端可以在router.foreach上对路由进行状态判定,从而实现页面程度的拦截(具体可以参考最后的参考文章2)

隐藏的小坑:

跨域问题

在使用拦截器后,会发现前端部分请求会无法正常到达后端,百度后发现是因为axios发送正式请求前会先发送一个嗅探请求,而嗅探请求是不携带我们封装的header的,所以会导致部分请求会无法成功,解决的方式有很多种,这里的话是选择了在后端去直接处理

weixin_39586825
关注
前后端分离带有token验证的文件下载
lp_306664907的博客
03-13 1737
前后端分离需要token验证实现文件的上传下载依赖的jar如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 依赖的jar poi-4.1.1.jar poi-ooxml-4.1.1.jar po...
前后端分离开发+redis登录验证
一个初学者的博客
04-16 774
前端部分 页面部分 //登录页 账号:<input type="text" id="username"><br> 密码:<input type="password" id="password"><br> <button type="button" id="login" onclick="login()">登录</button> <script type="text/javascript" src="js/jque
前后台分离登录认证
最新发布
Supreme13的博客
07-28 869
思路分析自定义登录接口调用ProviderManager的authenticate()方法进行认证,如果认证通过,则生成JWT把用户信息存入redis中自定义UserDetailsService接口实现类我们在这个实现类查询数据库定义JWT认证过滤器获取token解析token获取其中的uuid从redis中获取用户信息存入SecurityContextHolder。
redis+token实现登录校验前后端分离,及解跨域问题的4种方法
qi341500的博客
02-15 3026
一、使用自定义filter实现跨域 1、客户端向服务端发送请求 2、服务端做登录验证了,并生成登路用户对应的token,保存到redis 3、响应(报错)-----跨域问题 4、解决跨域问题--------服务器端添加过滤器,设置请求头 5、重新登录正确响应 6、客户端登redis录后访问页面,需要经过拦截器验证登录状态 7、编写拦截器 二、在任意配置类,返回一个 新的 CorsFIlter Bean 三、使用注解 (局部跨域) 四、手动设置响应头(局部跨域)
常见的登录验证方法之token校验+docker安装
a2285786446的博客
02-10 2788
学习编程的小伙伴都知道,用户登录是一个大部分程序都需要的功能,其写法也多种多样,但是编程思路基本是类似的,今天我们就来介绍其中一种常见的写法,希望初入编程的小伙伴能有所获。
简单前后端分离token验证流程
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
前后端分离项目——图书管理系统(上)
weixin_45732235的博客
10-01 6003
基于SpringBoot+Vue+MySQL实现的图书管理系统,该系统实现了登录、书籍种类管理、图书管理、借书管理、还书管理、管理员设置、会员管理等功能。
前后端分离登录
m0_51279688的博客
11-16 3956
1.http无协议 因为HTTP是无状态的协议,也就是说,这个协议是无法记录用户访问状态的,其每次请求都是独立的无关联的,一笔是一笔。而我们的网站都是设计成多个页面的,所在页面跳转过程中我们需要知道用户的状态,尤其是用户登录的状态,这样我们在页面跳转后我们才知道是否可以让用户有权限来操作一些功能或是查看一些数据。 所以,我们每个页面都需要对用户的身份进行认证。为了实现这一功能,用得最多的技术就是浏览器的cookie,我们会把用户登录的信息存放在客户端的cookie里,这样,我们每个页面都从这个cookie里
若依管理系统——前后端分离版(二)登陆接口分析及SpringSecurity的登陆认证流程
DreamsArchitects的博客
05-12 7126
目录一、登陆流程分析1. 图片验证码接口/captchaImage2.登陆验证接口/login2.1 校验图片验证码2.1 查询用户信息2.3查询用户的权限信息2.4 生成令牌token3.登录二、在请求头中携带token信息请求后台接口1. 获得请求头2.获取请求头中的认证信息3.解析jwt令牌,获取缓存中的用户信息 一、登陆流程分析 1. 图片验证码接口/captchaImage 在登陆之前会有一个请求图片验证码的接口/captchaImage,页面获得图片验证码,后台接口生成一个图片和UUID,并将
前后端分离权限管理系统基架!演示地址:.zip
02-06
此外,前后端分离架构下,前端可能使用JWT(JSON Web Token)进行身份验证,后端则处理令牌验证和权限校验。 综上所述,这个项目是一个基于C#和.NET框架的前后端分离权限管理系统,使用现代Web开发技术实现用户界面...
前后端分离的用户验证原理及Spring Boot + JWT的框架搭建(附完整的框架代码)之二
oscar999的专栏
01-04 1170
本框架整体描述 Spring Boot: Bean容器和后端框架,提供REST服务 使用JPA持久层统一API进行数据访问和操作, 底层使用HIbernate ORM框架 数据库使用MySQL JWT: 了解以上过程,就很容易理解以下现象: MhdleW9uQYZFMJJiboJaC2ZXCFjzfcf_2YGoS-qBBFaN9k3w2yZO!-2102516688 Java的处理 Jses...
前后端如何实现登录token拦截校验详解
10-18
主要给大家介绍了关于前后端如何实现登录token拦截校验的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
前后端分离实现用户登录Token权限验证
Silence_dhy的博客
09-29 6501
Springboot+Vue前后端分离实现用户登录Token权限验证以及登录Token状态保存
前后端分离
纸鸢栀年°的博客
08-31 1431
1,前后端分离 1.1 什么是前后端分离 ​ 前端: 即客户端,负责渲染用户显示界面【如web的js动态渲染页面, 安卓, IOS,pc客户端等】 ​ 后端:即服务器端,负责接收http请求,处理数据 ​ API:Application Programming Interface 是一些预先定义的函数,或指软件系统不同组成部分衔接的约定 ​ 前后端分离 完整请求过程 ​ 1,前端通过h...
Token方案实现Token自动续期(基于springboot+vue前后端分离项目
qq_44286009的博客
06-10 2339
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
前后端 token 的使用
ximingx
04-30 9851
前后端 token 的使用
前后端分离项目---会话跟踪实现方案--前后端分离使用token拦截校验
Rk的博客
04-25 2045
1、什么是localStorage和sessionStorage? 这两是web Storage 的其中两个,是HTML 5引入的一个重要的功能,在前端开发的过程中会经常用到,它可以在客户端本地存储数据,类似cookie,但其功能却比cookie强大的多。cookie的大小只有4Kb左右(浏览器不同,大小也不同),而web Storage的大小有5MB。 localStorage和sessionStorage都是保存在浏览器中,它们最主要的区别是: 生命周期不同:sessionSt...
SpringSecurity整合JWT权限验证实现前后端分离,配合使用 Redis实现token超时的刷新机制
fenyudelushang的博客
10-21 1993
项目使用SpringSecurity整合JWT实现权限验登陆,下面简单描述下整个流程。 1.登陆成功后生成JWT token 返回给前端,前端再次访问时携带这个jwttoken,服务端收到后解析这个token,判断这个token是否超过最大有效期,如没有超过最大有效期但这个token过期了,就返回刷新后的jwt给前端,但超过了最大有效期就要用户重新登陆了,下面是具体的代码实现,有 不足之处多多指导哦。 1.配置验证过期以及刷新JWT的过滤器 @Component public class JwtC.
后端处理token以及身份验证
热门推荐
weixin_43980559的博客
03-29 1万+
一、生成token 后端利用生成token的方式来进行用户状态的保持和验证token简单的解释就是后端 二、获取到前端请求中的token值 三、验证token值,是否存在、是否过期等等。 四、参数注解
前后端登录Token校验实战指南
"这篇教程详细讲解了前后端如何实现基于token登录验证,涉及前端Angular框架和后端Spring Boot框架的交互。主要内容包括前后端分离登录场景、环境设定、后端逻辑实现以及相关代码示例。" 在现代Web开发中,前后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值