基于token的springsecurity前后端分离实现!

已于 2022-07-14 11:22:51 修改
阅读量2k 收藏 26
点赞数 6
分类专栏: 后端java 文章标签: java spring 数据库 过滤器
于 2021-01-27 15:19:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42375707/article/details/113247664
版权

本文是在超全的springboot+springsecurity前后端分离简单实现!!!_码上编程的博客-CSDN博客 此文的基础上进一步改进的,

没有接触过springsecurity的可以先看看超全的springboot+springsecurity前后端分离简单实现!!!_码上编程的博客-CSDN博客,两篇文章都是每一步都有详细步骤!

1、前言部分

1.1 序言

我的上一篇博客超全的springboot+springsecurity前后端分离简单实现!!!_码上编程的博客-CSDN博客 虽然实现了前后端分离,但是它是基于cookie认证的,我想尝试一下不用cookie认证,而是用token认证。网上绝大部分都是使用 jwt(json web token)方式认证,而jwt加密和解密比较繁琐,现实当中好像用的挺少的,但是不可否认它更安全,如果想看基于jwt方式认证的,我推荐此博客SpringBoot整合SpringSecurity+JWT实现用户验证和鉴权_西瓜不甜柠檬不酸的博客-CSDN博客,但这篇还是使用token认证,将token保存在redis缓存中。

源代码还有数据库在此文的底部!!

1.2 目标实现效果

注册, 密码必须经过BCryptPasswordEncoder进行加密,权限必须以ROLE_开头才能被springsecurity识别

 

账号密码错误,登录失败 。 /login接口有springsecurity写好了,直接调用即可,但是必须使用post请求, 参数名必须是usernamepassword,要不然登录不成功。

登录成功 , 并在响应头中返回token

 

权限不足访问目标资源, /hello是我写的一个接口,返回"hello"字符串。

权限匹配访问目标资源, /index 是我写的一个接口,返回"index"字符串

注销操作, /logout是springsecurity自动封装的接口,无论是get请求还是post请求,直接调用即可, 注销成功后会删除缓存里的token

1.3 技术使用

springboot、mybatis-plus、redis、mysql、lombok自动生成get/set、git

2、关键部分

2.1 原理

2.2 代码部分

<dependencies>
        <!--转换成json字符串的工具-->
        <dependency>
            <groupId>com.google.code.gson</groupId>
            <artifactId>gson</artifactId>
            <version>2.8.2</version>
        </dependency>
        <!-- 配置使用redis启动器 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<!--mybatis-plus依赖-->
		<dependency>
			<groupId>com.baomidou</groupId>
			<artifactId>mybatis-plus-boot-starter</artifactId>
			<version>3.4.1</version>
		</dependency>
		<!--模板引擎-->
		<dependency>
			<groupId>org.apache.velocity</groupId>
			<artifactId>velocity-engine-core</artifactId>
			<version>2.2</version>
		</dependency>
		<!--自动生成代码时会用到的依赖-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.4.1</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.4.2</version>
        </dependency>
    </dependencies>

User.java

@Data
@EqualsAndHashCode(callSuper = false)
public class User implements Serializable {

    private static final long serialVersionUID = 1L;

    @TableId(value = "id", type = IdType.AUTO)
    private Integer id;

    private String username;

    private String password;

    private String role;


}

UserMapper.java, BaseMapper<T>封装了大量的sql语句供程序员使用

@Repository
public interface UserMapper extends BaseMapper<User> {

}

UserService.java

public interface UserService extends IService<User> {

}

Msg.java 自定义结果返回集

/**
 * 自定义结果集处理
 */
@Data
@NoArgsConstructor
@AllArgsConstructor
public class Msg {
    int code;
    String message;
    Object data;

    //无权访问
    public static Msg denyAccess(String message){
        Msg result=new Msg();
        result.setCode(300);
        result.setMessage(message);
        return result;
    }

    //操作成功
    public static Msg success(String message){
        Msg result=new Msg();
        result.setCode(200);
        result.setMessage(message);
        return result;
    }

    //客户端操作失败
    public static Msg fail(String message){
        Msg result=new Msg();
        result.setCode(400);
        result.setMessage(message);
        return result;
    }

}

注销处理器

@Component
public class AuthenticationLogout implements LogoutSuccessHandler {

    @Autowired
    Gson gson;

    @Autowired
    StringRedisTemplate stringRedisTemplate;

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        String token = request.getHeader("token");
        Msg result=null;
        try {
            if(token==null){
                //token为空表示未登录,注销失败
                result=Msg.fail("未登录,不能进行注销操作!!!");
            }else{
                String username = stringRedisTemplate.opsForValue().get(token);
                if(username==null){
                    //token不正确,注销失败
                    result=Msg.fail("登录凭证异常,注销失败!!!");
                }else{
                    //token正确,注销成功
                    result=Msg.success("注销成功");
                    //清空token
                    stringRedisTemplate.delete(token);
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        response.setContentType("application/json;charset=utf-8");  //设置编码格式
        response.getWriter().write(gson.toJson(result));    //返回给前端
    }
}

未登录时处理器

/**
 * 未登录时处理器
 */
public class TokenAuthenticationEntryPoint implements AuthenticationEntryPoint {
    Gson gson=new Gson();

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        Msg msg= Msg.fail("请登录!!");
        response.getWriter().write(gson.toJson(msg));
    }
}

权限不足处理器 

/**
 * 权限不足处理器
 */
public class TokenAccessDeniedHandler implements AccessDeniedHandler {

    Gson gson=new Gson();

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        Msg msg= Msg.denyAccess("权限不够,请联系管理员!!!");
        response.getWriter().write(gson.toJson(msg));
    }
}

请求过滤器 , token没有或者不正确的时候, 告诉用户执行相应操作,token正确且未认真的情况下则放行请求, 交由认证过滤器进行认证操作

/**
 * 自定义请求过滤器,token没有或者不正确的时候,
 * 告诉用户执行相应操作,token正确且未认真的情况下则放行请求,
 * 交由认证过滤器进行认证操作
 */
public class OncePerRequestAuthoricationFilter extends BasicAuthenticationFilter {

    StringRedisTemplate stringRedisTemplate;
    UserServiceImpl userServiceImpl;

    Gson gson=new Gson();

    public OncePerRequestAuthoricationFilter(AuthenticationManager authenticationManager, StringRedisTemplate stringRedisTemplate, UserServiceImpl userServiceImpl) {
        super(authenticationManager);
        this.stringRedisTemplate=stringRedisTemplate;
        this.userServiceImpl=userServiceImpl;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String token=request.getHeader("token");
        if(token==null || token.equals("")){
            //token为空,则返回空
            chain.doFilter(request, response);
            return;
        }

        String username=stringRedisTemplate.opsForValue().get(token);
        try{
            //判断token情况,给予对应的处理方案
            if(username==null){
                throw new Exception("登录凭证不正确或者超时了,请重新登录!!!");
            }else{
                UserDetails userDetails = userServiceImpl.loadUserByUsername(username);
                if(userDetails!=null){
                    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken=new UsernamePasswordAuthenticationToken(username,null,userDetails.getAuthorities());
                    response.setHeader("token",token);
                    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
                }
            }
        }catch (Exception e){
            //抛出异常,并返回给前端
            response.setCharacterEncoding("utf-8");
            response.setContentType("application/json; charset=utf-8");
            Msg msg= Msg.fail(e.getLocalizedMessage());
            response.getWriter().write(gson.toJson(msg));
            response.getWriter().flush();
            chain.doFilter(request, response);
            return;
        }
        super.doFilterInternal(request,response,chain);
    }
}

认证过滤器,   判断认证成功还是失败,并给予相对应的逻辑处理

/**
 * 自定义认证过滤器,判断认证成功还是失败,并给予相对应的逻辑处理
 */
public class AuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    AuthenticationManager authenticationManager;
    StringRedisTemplate stringRedisTemplate;

    Gson gson=new Gson();

    public AuthenticationFilter(AuthenticationManager authenticationManager,StringRedisTemplate stringRedisTemplate){
        this.authenticationManager=authenticationManager;
        this.stringRedisTemplate=stringRedisTemplate;
    }

    //未认证时调用此方法,判断认证是否成功,认证成功与否由authenticationManager.authenticate()去判断,我们在这里只负责传递所需要的参数即可
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        String username=request.getParameter("username");
        String password=request.getParameter("password");
        return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username,password,new ArrayList<>()));
    }

    //验证成功操作
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        /**
         * 验证成功则向redis缓存写入token,然后在响应头添加token,并向前端返回
         */
        String token= UUID.randomUUID().toString().replaceAll("-","");  //token本质就是随机生成的字符串
        stringRedisTemplate.opsForValue().set(token,request.getParameter("username"),60*10,TimeUnit.SECONDS);    //存入缓存中
        response.setHeader("token",token);  //在响应头添加token
        Msg msg= Msg.success("登录成功");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        response.getWriter().write(gson.toJson(msg));
    }

    //验证失败
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        /**
         * 验证成功则向前端返回失败原因
         */
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        Msg msg=Msg.fail("账号或者密码错误");
        response.getWriter().write(gson.toJson(msg));
    }
}

springsecurity核心配置文件,无论是处理器还是过滤器都需要注入到此

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //java操作redis的string类型数据的类
    @Autowired
    StringRedisTemplate stringRedisTemplate;

    //注销处理器
    @Autowired
    AuthenticationLogout authenticationLogout;

    //加密
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }


    @Bean
    public UserDetailsService userDetailsService() {
        return new UserServiceImpl();
    }

    /**
     * 认证
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(bCryptPasswordEncoder());
    }


    /**
     * 授权
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
                .authorizeRequests()
                .anyRequest().permitAll()

                .and()
                .logout()
                .permitAll()
                .logoutSuccessHandler(authenticationLogout) //注销时的逻辑处理

                .and()
                .addFilter(new AuthenticationFilter(authenticationManager(),stringRedisTemplate))   //自定义认证过滤器
                .addFilter(new OncePerRequestAuthoricationFilter(authenticationManager(),stringRedisTemplate, (UserServiceImpl) userDetailsService())) //自定义请求过滤器
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)     //去除默认的session、cookie

                .and()
                .exceptionHandling().authenticationEntryPoint(new TokenAuthenticationEntryPoint())  //未登录时的逻辑处理
                .accessDeniedHandler(new TokenAccessDeniedHandler());    //权限不足时的逻辑处理
    }


    /**
     * 用于解决跨域问题
     * @return
     */
    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", new CorsConfiguration().applyPermitDefaultValues());
        return source;
    }
}

 UserServiceImpl.java, 实现UserDetailsService里面的loadUserByUsername()方法,AuthenticationManager会调用此方法去获取用户数据信息,从而完成认证。

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService,UserDetailsService {
    @Autowired
    UserMapper userMapper;

    /**
     * 实现UserDetailsService接口的方法,用于获取用户个人信息
     * @param s
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //根据用户名查找用户,相当于select * from user where username='${s}'
        QueryWrapper<User> wrapper=new QueryWrapper<>();
        wrapper.eq("username",s);
        User user = userMapper.selectOne(wrapper);
        if(user==null){
            throw new UsernameNotFoundException("用户名错误!!");
        }

        //获取用户权限,并把其添加到GrantedAuthority中
        List<GrantedAuthority> grantedAuthorities=new ArrayList<>();
        GrantedAuthority grantedAuthority=new SimpleGrantedAuthority(user.getRole());
        grantedAuthorities.add(grantedAuthority);

        return new org.springframework.security.core.userdetails.User(s,user.getPassword(),grantedAuthorities);
    }

    /**
     * 注册操作
     * @param user
     * @return
     */
    public Msg register(User user){
        user.setPassword(new BCryptPasswordEncoder().encode(user.getPassword()));  //对密码进行加密
        int insert = userMapper.insert(user);
        if(insert>0){
            return Msg.success("注册成功!");
        }else{
            return Msg.fail("注册失败!");
        }
    }
}

 UserController.java ,   @PreAuthorize("hasRole('ROLE_USER')")  指定接口拥有ROLE_USER的权限方可访问的注解。

@RestController
public class UserController {

    @Autowired
    UserServiceImpl userServiceImpl;

    /**
     * 注册操作
     * @param user
     * @return
     */
    @PostMapping("/register")
    public Msg register(User user){
        return userServiceImpl.register(user);
    }

    /**
     * 当权限为ROLE_ADMIN时方可访问,否则抛出权限不足异常
     * @return
     */
    @GetMapping("/index")
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public Msg index(){
        Msg msg=Msg.success("查询成功!!!");
        msg.setData("index");
        return msg;
    }

    /**
     * 当权限为ROLE_USER时方可访问,否则抛出权限不足异常
     * @return
     */
    @GetMapping("/hello")
    @PreAuthorize("hasRole('ROLE_USER')")
    public Msg hello(){
        Msg msg=Msg.success("查询成功!!!");
        msg.setData("hello");
        return msg;
    }
}

项目源代码地址: https://gitee.com/liu-wenxin/springsecurity_token.git ,   通过 git clone https://gitee.com/liu-wenxin/springsecurity_token.git  获取源代码以及数据库文件。

码上编程
关注
专栏目录
Spring Security + JWT 实现基于Token的安全验证
m0_56282664的博客
07-21 1215
Spring Security + JWT 实现基于Token的安全验证
一个权限控制系统基于Spring Security实现前后端分离
wdj_yyds的博客
06-28 594
话不多说,进入正题。一个简单的权限控制系统需要考虑的问题如下:1. 引入maven依赖 application.properties配置 2. 建表并生成相应的实体类 SysDept.java 部门相当于用户组,这里简化了一下,用户组没有跟角色管理 SysMenu.java 菜单相当于权限 SysRole.java 注意,不要使用@Data注解,因为@Data包含@ToString注解不要随便打印SysUser,例如:System.out.println(sysUser);
Spring——Security前后分离校验token
专注写bug
02-24 2784
文章目录前言token配置引入JWT依赖文件配置token管理器类security 配置配置未登录处理类配置无权限处理类配置登出操作处理类配置token认证过滤器配置token权限校验过滤器自定义加密类 前言 之前采取项目中嵌套html页面,实现基本的登录校验、权限校验、登出操作、记住我等功能试下。 但是,现在的开发基本都是前后分离样式,后端并不需要配置登录页的操作。 如何才能做到前后分离,同时也能支持登录和token校验呢,本篇博客详细说明。 token配置 本次token生成采取jwt的方式。 引入JW
使用JWT的SpringSecurity实现前后端分离
qq_59099003的博客
07-30 1039
JWT,前后端分离SpringSecurity
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
基于Spring Security实现前后端分离的权限控制系统
Javaesandyou的博客
12-09 1474
话不多说,进入正题。一个简单的权限控制系统需要考虑的问题如下: 权限如何加载 权限匹配规则 登录 1. 引入maven依赖 1 <?xml version="1.0" encoding="UTF-8"?> 2 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 3 xsi:schemaLoca
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
基于SpringSecurity 的登录详解(前后端分离
qq_45784240的博客
08-06 4785
前后端分离登录:JWT单点登录
Springboot + Spring Security 实现前后端分离登录认证及权限控制
m0_68850571的博客
04-10 1万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制 前言     关于Spring Security的概念部分本文不进行赘述,本文主要针对于对Spring Security以及Springboot有一定了解的小伙伴,帮助大家使用Springboot + Spring Security 实现一个前后端分离登录认证的过程。     文章会一步一步循序渐进的带大家敲一遍代码。最终的代码请看最后。     代码中我用到了插件lombok来生成实体的getter/set
基于SpringBoot,Spring Security实现前后端分离权限管理简易系统.zip
05-18
在本项目中,我们探讨的是一个基于Spring Boot和Spring Security框架构建的前后端分离权限管理系统。这个系统的设计目的是为了提供一种高效、安全的用户管理和权限控制解决方案,特别适合于Java毕业设计或课程设计...
SpringSecurity前后端分离登录认证
风间琉璃の博客
06-06 5404
SpringBoot使用的是2.7.0版本 依赖: 创建一个: 访问测试:可以看到可以访问成功 重启项目之后发现接口无法再次进行访问,取而代之的是Security的登录页。 此时的默认用户名是,密码会在控制台输出。核心过滤器: 1.2案例认证流程: 登录流程: 校验过程: 引入redis:如果认证之后害需要通过JWT中的对数据库进行查询,消耗太大,可以存储入到redis中。 实体类: 引入数据库相关依赖: 配置mapper 添加注解扫描 构建登录接口:实现中的类,自己实现登录逻辑 封装登
Spring Security中使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
前后端分离token设计
编程算啥事(公总号)的博客
12-24 1145
前后端分离token设计 1、前端端分离用户认证以后,目前大多数都采用请求头携带 Token 的形式,每次请求都需要验证是否有token一级token是否过期。 2.前端使用axio,使用response拦截器拦截,如果状态码是401,则使用refreshtoken重新请求token,将请求到的token放到localStroage。 3.退出用户 清除所有token,重定向到登录页面。red...
SpringSecurity前后端分离(包含token和验证码登录)
qq_57907966的博客
02-10 5673
实现数据库中获取用户的信息,自定义登录逻辑@Service@Autowired@Autowired@Autowired@Autowired@Override//需要构造出 org.springframework.security.core.userdetails.User 对象并返回/*** String username:用户名* String password: 密码* boolean enabled: 账号是否可用。
Spring Security + JWT 实现基于token的登录验证
weixin_41037842的博客
04-11 2870
一、JWT JWT:json web token,是目前最流行的一个跨域认证解决方案:客户端发起用户登录请求,服务器端接收并认证成功后,生成一个 JSON 对象,然后将其返回给客户端。 基于spring security实现登录认证 基础配置 /** * @Description 安全配置 * @Date * */ @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public
SpringSecurity6+JWT实现前后端分离
Huonzy的博客
09-17 3340
本文使用mybatis-plus作为ORM框架,然后使用springsecurity6作为安全框架,采用JWT作为权限确认的方式。其实我现在就刚入门这个springsecurity6而已,有许多都没有摸清它的使用,写下这篇文章只是想记录一下,下次想用的时候来看看。
Spring Security + token前后端分离该怎么认证
叽叽叽叽叽叽叽叽叽叽叽叽叽叽叽叽
03-16 2438
前言 因为这个Spring Security学习的过程比较曲折,最初以为比较简单,但是实际上也确实比较简单,最大的坑点在于,大多数找到的关于Spring Security都不是基于前后端分离进行的配置,解决了一个bug发现了更多的bug,烦不胜烦,直到在著名的学习网站B站看到了这个视频,老师讲的真的简单,比之前看过的尚**、黑*的视频好很多(基于前后端分离),那两个机构的视频看的简直无语,一个安全框架中恨不得给你把Spring boot、mysql、Spring cloud都讲一遍,看得着实费解。如果你需要
Spring Security 安全校验前后端分离
最新发布
weixin_44084735的博客
09-16 1122
Spring Security 是一个专注于向 Java 应用程序提供身份验证和授权的安全框架,在Web环境下,它是借助Filter来实现对请求的校验;因为是一个框架,开发出来的目的是为了适配各个不同的场景,各种扩展,再加上框架本身默认的功能是在以template 画html, 以Session做回话管理这种开发模式;不过我们现在都是前后端分离,所以原有的一些功能就不怎么适用了,导致我们刚接手时会觉得有点困难,接下来我们简单讲解一下框架的流程,以及后续更改为前后端使用Token交互的方式;
springsecurity 前后端分离
08-23
对于使用Spring Security实现前后端分离的方案,可以采用以下步骤: 1. 后端配置: - 在Spring Boot项目中,引入Spring Security相关的依赖。 - 创建一个继承自`WebSecurityConfigurerAdapter`的配置类,用于配置Spring Security的行为。 - 配置登录、注销、权限等相关的URL路径和访问规则。 - 在登录成功后,生成并返回给前端一个JWT(JSON Web Token)作为认证凭证。 2. 前端配置: - 前端项目需要实现用户注册、登录、注销等功能,并与后端进行通信。 - 用户登录时,将用户名和密码发送到后端进行验证。 - 在登录成功后,将从后端获取到的JWT保存在前端(通常使用localStorage或sessionStorage)。 - 前端与后端通信时,在请求的请求头中携带JWT,以便后端进行权限验证。 3. 跨域支持: - 由于前后端分离的架构中,前端和后端往往运行在不同的域名下,需要处理跨域问题。 - 后端可以通过配置允许跨域请求的方法和域名,或者使用Spring Security提供的`CorsFilter`类进行跨域配置。 通过以上步骤,可以实现基于Spring Security前后端分离架构。前端通过JWT认证和授权,与后端进行安全通信,并根据权限获取相应的数据和资源。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值