【实现方案】Springboot整合token的权限管理实现(二)—— 配置服务器拦截器与跨域访问权限

最新推荐文章于 2023-08-14 16:50:43 发布
最新推荐文章于 2023-08-14 16:50:43 发布
阅读量632 收藏 2
点赞数
分类专栏: Web2 things 文章标签: 跨域访问 token拦截器 springboot 权限管理 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742184/article/details/103061697
版权

前置说明

前一篇文章介绍了如何使用 JWT 生成与解析 token。这篇文章给大家介绍,当我们使用 springboot 进行开发时,如何从后端解决跨域访问问题,以及如何配置 request 拦截器。

跨域访问

一、什么是跨域访问?

跨域的严格一点的定义是:只要协议,域名,端口有任何一个的不同,就被当作是跨域。

从现在的开发技术而言,大家越来越讲究前后端分离开发。如果前后端分离,那么势必会遇到跨域访问的问题。跨域访问可以从前端或后端做相应设置来进行解决。本文在后端进行配置,解决跨域访问的问题。

二、代码示例

多说一句,WebMvcConfigurer 这个接口非常的重要,可以在这里面配置各种自定义的拦截器。大家可以多做了解。

import xxx.interceptor.AuthenticationInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author amber
 */

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    /**
     * 配置外部访问
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        System.out.println("----------------------");
        registry.addMapping("/**")
                //允许任何地址访问到服务器
                .allowedOrigins("*")
                //允许携带cookie访问
                .allowCredentials(true)
                //允许一下请求方法
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .maxAge(3600);
    }
}

Request 拦截器

通过拦截器,我们可以轻松地将没有携带 token,或携带了非法 token 的请求拦截在执行 controller 之前。

代码示例
一、编写 AuthenticationInterceptor

编写自定义的拦截器本体,实现 HandlerInterceptor 的 prehandle 函数,来自定义拦截器。

import com.fasterxml.jackson.databind.ObjectMapper;
import xxx.productLibbackend.base.dto.MyResponse;
import xxx.productLibbackend.base.utils.TokenUtil;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

/**
 * @author amber 
 */

public class AuthenticationInterceptor implements HandlerInterceptor {

    /**
     * 设置拦截器,对每次前端发送的请求做token校验
     *
     * @return
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                //验证是否是本系统的cookie
                if (cookie.getName().equals("token")) {
                    String oldToken = cookie.getValue();
                    String newToken = TokenUtil.refreshToken(oldToken);
                    //token过期或非法
                    if (newToken == null) {
                        addHeader(request, response);
                        return false;
                    }
                    cookie.setValue(newToken);
                    //与token过期时间一样,10min
                    cookie.setMaxAge(10 * 60);
                    cookie.setPath("/");
                    response.addCookie(cookie);
                    return true;
                }
            }
        }
        addHeader(request, response);
        return false;
    }

	public void addHeader(HttpServletRequest request, HttpServletResponse response){
        String origin = request.getHeader("Origin");
        response.addHeader("Access-Control-Allow-Origin", origin);
        response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
        response.addHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
        response.addHeader("Access-Control-Allow-Credentials", "true");
        response.addHeader("Access-Control-Max-Age", "3600");
    }
}

这里为什么要在每次 return false 之前要加头部信息,我会在下一篇进行叙述。


二、Config 注册拦截器

在编写完拦截器后,我们要在 Config 中注册拦截器,让其发挥作用。
还是在刚才提到的 WebMvcConfigurer 中实现函数来进行注册。

import xxx.interceptor.AuthenticationInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author amber
 */

@Configuration
public class Config implements WebMvcConfigurer {
/**
     * 配置请求拦截器
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 将自定义的token拦截器在这里注册、参数设置
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/test/**")
                //对以下路由不进行拦截
                .excludePathPatterns("/test/getToken")
                .excludePathPatterns("/test/deToken");
    }

    @Bean
    //实例化
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }

}
amber_0515
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
spring-boot + VUE 实现登录token验证,前后台获取当前登录人信息 三部曲(
小熙哥的博客
06-20 8001
public class AuthenticationInterceptor implements HandlerInterceptor { @Autowired UserService userService; @Override public boolean preHandle(HttpServletRequest httpServletRequest,...
springboot拦截器实现Token的权限认证
rookiediary的博客
05-09 3174
对于很多系统来说,登陆权限控制是每个系统都具有的,不过实现方案也多种多样。 下面利用简单的demo来实现使用 Token认证来控制系统的权限访问。 pom、数据库配置、Redis配置略 自定义注解:AuthToken package com.csq.study.springcloud.token.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Ret...
Springboot实现filter拦截token验证和跨域
热门推荐
牧竹子
10-14 5万+
背景web验证授权合法的一般分为下面几种 1使用session作为验证合法用户访问的验证方式 使用自己实现token 使用OCA标准 在使用API接口授权验证时,token是自定义的方式实现起来不需要引入其他东西,关键是简单实用。合法登陆后一般使用用户UID+盐值+时间戳使用多层对称加密生成token并放入分布式缓存中设置固定的过期时间长(和session的方式有些相同),这样当用户访问时使用to
实现方案Springboot整合token权限管理实现(三)—— 解决token或cookie过期后的跨域问题
weixin_43742184的博客
11-14 1530
前置说明 在token拦截器中,处理非法 (包含过期)token 的方法无非就是两种,一种是直接 return false,另一种是 throws Exception。如果是使用 throws Exception ,那么直接 http status code 就是500,在前端也很好捕捉。但是如果直接 return false,那浏览器还是会报出跨域请求的错误。 解决方案 问题原因 其实导致这个问...
SpringBoot+Shiro+JWT实现权限管理
qq_42109746的博客
07-24 1万+
1.为什么使用JWT? 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码...
SpringBoot 整合 JWT 实现 Token 登录验证的简单实现
weixin_46410481的博客
11-19 1443
SpringBoot 整合 JWT 实现 Token 登录验证的实现实现案例之前,要先去理解 JWT 的概念 以及 它与传统方式的区别和优点。 1、什么是 JWT? JSON WEB TOKEN (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519),该 TOKEN 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他
jwt 如何防止token被拦截_SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
weixin_42501373的博客
02-26 375
一、传统Session认证1、认证过程1、用户向服务器发送用户名和密码。2、服务器验证后在当前对话(session)保存相关数据。3、服务器向返回sessionId,写入客户端 Cookie。4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。5、服务器收到 sessionId,验证客户端。2、存在问题1、session保存在服务端,客户端访问高并发时,服务端压力大。2...
权限管理系统项目文档——SpringBoot后端
lht964249279的博客
02-12 1818
SpringBoot+Spring Cloud+Vue+Element项目实战》权限管理系统后端部分
springboot集成websocket持久连接(权限过滤+拦截)
扶摇的博客
08-14 3102
springboot关于websocket依赖。因为一般的请求都是HTTP请求(单向通信),HTTP是一个短连接(非持久化),且通信只能由客户端发起,HTTP协议做不到服务器主动向客户端推送消息。举个例子:前后端交互就是前端发送请求,从后端拿到数据后展示到页面,如果前端没有主动请求接口,那后端就不能发送数据给前端。然而,WebSocket确能很好的解决这个问题,服务端可以主动向客户端推送消息,客户端也可以主动向服务端发送消息
基于springboot+springSecurity+jwt实现的基于token权限管理
02-24
这是一个使用了springboot+springSecurity+jwt实现的基于token权限管理的一个demo
springboot整合token实现代码
08-25
主要介绍了springboot整合token实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
struts2 用拦截器 实现用户权限登录
11-14
struts2 用拦截器 实现用户权限登录 可以直接运行,只单单用到struts的东西。 struts2 用拦截器 实现用户权限登录 可以直接运行,只单单用到struts的东西。
基于springboot+springSecurity+jwt实现的基于token权限管理的一个demo,适合新手
03-05
这是一个使用了springboot+springSecurity+jwt实现的基于token权限管理的一个demo,适合新手
前18大旋转修整器企业占据全球87%的市场份额.docx
05-06
前18大旋转修整器企业占据全球87%的市场份额
Planet-SkySat-Imagery-Product-Specification-Jan2020.pdf
05-06
SKYSAT IMAGERY PRODUCT SPECIFICATION PLANET.COM VIDEO Full motion videos are collected between 30 and 120 seconds by a single camera from any of the active SkySats. Videos are collected using only the Panchromatic half of the camera, hence all videos are PAN only. Videos are packaged and delivered with a video mpeg-4 file, plus all image frames with accompanying video metadata and a frame index file (reference Product Types below)
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
05-06
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
2019年A~F题特等奖论文合集.pdf
最新发布
05-06
大学生,数学建模,美国大学生数学建模竞赛,MCM/ICM,历年美赛特等奖O奖论文
SpringBoot整合token实现登录认证完整代码
06-13
-- SpringBoot Web 依赖 --> <groupId>org.springframework.boot <artifactId>spring-boot-starter-web <!-- JWT 依赖 --> <groupId>io.jsonwebtoken <artifactId>jjwt <version>0.9.1 ``` User....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值