亲测有效!SpringBoot项目采用JWT登录认证与保持,并解决跨域问题

已于 2023-04-13 12:37:15 修改
阅读量1.3k 收藏 6
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot vue.js java
于 2023-04-12 17:56:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45928161/article/details/130113086
版权

目录

一、配置JWT详细教程

系统环境:

  • SpringBoot后端项目,引入了Security依赖,采用了配置Security类来解决跨域问题
  • 前端采用VUE框架以及axios方法

参考教程:《实践:前后端分离实现JWT登录验证,包括前、后端配置》一步步跟着做就可以了。

个人理解:
① Token的生成

  1. 前端:用户输入账号、密码,点击登录,前端请求发送到后端
  2. 后端:接收前端请求,验证账号、密码,验证成功,根据账号信息生成Token令牌,并将Token令牌返回给前端
  3. 前端:接收Token令牌,存储在localStorage里

② 登录状态保持与权限问题

  1. 前端:将localStorage里的Token令牌配置到axios的请求头中,每次axios发送请求时请求头中都会携带Token令牌
  2. 后端:设置拦截器,拦截前端请求,并验证前端请求的请求头中的Token令牌,验证通过则继续执行请求,验证失败则取消该请求

二、加了JWT后出现的跨域问题解析

可能原因1:
SpringBoot加了拦截器后出现的跨域问题解析
SpringBoot使用Jwt处理跨域认证问题
可能原因2:
这个问题可能是由于前端发送请求时没有将token放入请求的header中导致的。在使用JWT实现认证时,需要将生成的token存储到前端,并在每次向后端发送请求时将token放入请求header中,这样后端才能识别该用户是否已登录以及是否有权限访问该接口。
你可以在前端代码的main.js中添加一个拦截器,在请求被发送出去之前,将存储在localstorage中的token添加到请求header中,例如:

axios.interceptors.request.use(
  (config) => {
    const token = localStorage.getItem('token');
    if (token) {
      config.headers.Authorization = `Bearer ${token}`;
    }
    return config;
  },
  (error) => Promise.reject(error)
);

这段代码会在每次请求前检查localstorage中是否存在token,并将其添加到请求的header中。这样,当后端接收到请求时,就可以从header中获取token并进行认证和授权操作了。
注意:为了避免XSS攻击,不要直接将token存储在localstorage中,可以考虑使用sessionStorage或者cookie等更加安全的存储方式。
这里是将《实践:前后端分离实现JWT登录验证,包括前、后端配置》里前端main.js的拦截器代码重写了一下,我是这个问题。

三、'Bearer '问题(可能是它引起的令牌失效!)

前端配置JWT时,在将Token配置到axios请求头时会在main.js用到如下代码:

// 请求拦截
axios.interceptors.request.use(
    (config) => {
        const token = localStorage.getItem('token');
        if (token) {
            config.headers.Authorization = "Bearer "+token;
        }
        return config;
    },
    (error) => Promise.reject(error)
);

其中 config.headers.Authorization = "Bearer "+token; 专门添加了’Bearer ',添加’Bearer '的原因如下:

  • Bearer是指OAuth 2.0协议中的一种认证方式。在使用OAuth 2.0进行API认证时,需要通过Access Token来访问受保护的资源。Bearer就是用来表明此处所使用的Access Token类型。
  • 添加Bearer前缀是为了告诉服务器,我们正在使用Bearer令牌进行身份验证。服务器收到带有Bearer令牌的请求后,会解析出令牌并对其进行验证。如果验证通过,则允许请求对受保护的资源进行操作。
  • 因此,在config.headers.Authorization = "Bearer "+token;中,Bearer是指定了使用的Access Token的类型,而token则是具体的Access Token值。

所以,后端解析请求头中的Token时,得到的是带有Bearer 的Token,然而验证Token、解析Token都需要“干净”的Token,即没有Bearer 的Token,所以如下需要把Bearer 去除:
①验证Token方法

public static Map<String, Claim> verifyToken(String token)throws Exception{
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT jwt = null;
        // 删除前7个字符:将Bearer 删除得到“干净”的token
        token = token.substring(7);
        try {
            jwt = verifier.verify(token);
        }catch (Exception e){
            throw new RuntimeException("凭证失效");
        }
        return jwt.getClaims();
    }

解析Token方法

@Override
    public List<UserInfoDto> getUserInfo(HttpServletRequest request) {
        // 获取请求头中的Token值
        String authHeader = request.getHeader("Authorization");
        String token = "";
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
        	// 去除‘Bearer ’
            token = authHeader.substring(7);
        }
        // 获取Token中用户email
        String email = JwtUtil.parseToken(token).get("email").asString();
        UserInfoDto dto = new UserInfoDto();
        dto.setEmail(email);
        // 查询用户信息
        List<UserInfoDto> ressultList = getUserInfo_private(dto);
        return ressultList;
    }
一级新生
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
uniapp和springboot微信小程序开发实战:后端架构搭建之使用shiro和jwt实现登录认证
xuemeng2016的专栏
06-19 2107
认证就是要核验用户的身份,比如说通过用户名和密码来检验用户的身份。说简单一些,认证就 是登陆。登陆之后Shiro要记录用户成功登陆的凭证。授权是比认证更加精细度的划分用户的行为。比如说一个教务管理系统,学生登陆之后只能查 看信息,不能修改信息。而班主任就可以修改学生的信息。这就是利用授权来限定不同身份用户 的行为。修改配置文件,增加如下内容jwt:#密钥#令牌过期时间(天)expire: 5#令牌缓存时间(天数)
springBoot整合jwt实现token令牌认证
weixin_61779644的博客
12-12 551
作为计算机术语时,是“令牌”的意思。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。实施 Token 验证的方法挺多的,还有一些标准方法,比如 JWT,读作:jot ,表示:JSON Web Tokens。在这里我定义的签名是静态变量 可以根据自己需求来定义 这里的id是从数据库里面拿到的 这里的验证token符合的话就放行,否则就抛异常。
SpringBoot使用Cookie实现记住登录
最新发布
GSON的博客
04-24 728
cookie是一种储存在用户本地终端上的数据,有时也用其复数Cookies。类型为“小型文本文件“,是某些网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。其实 Cookie 就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把 Cookie 保存起来,当下一次再访问服务器时把 Cookie 再发送给服务器。
springboot+springScurity+JWT+uni-app实现微信小程序登录
秋收的麦穗的博客
03-24 2077
文章目录一.技术以及框架选择二.功能需求三.功能具体实现1.登录流程2.代码实现2.1 小程序登录事件2.2 登录逻辑2.3 后台登录逻辑实现2.3.1 登录接口 最近接到小程序毕设业务业务,记录下开发过程,UI实现这些就没必要写了 记录一下登录功能实现,虽然很简单不值一提. 一.技术以及框架选择 后台开发框架:springboot 权限框架:spring Security 小程序开发:uni-app 二.功能需求 1.点击登录,后台签发token,之后每次请求都携带这个token以此鉴权,没有相关权限不给
JWT 实现登录
Dailyblue的专栏
06-24 8287
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程携带这个 token,服务端责每次验证这个token。
uniapp+Springboot实现简单登录
m0_66403070的博客
05-10 1500
uniapp+Springboot实现简单登录
springboot+shiro+jwt实现token认证登录
qq_40997700的博客
12-17 4893
准备: springboot 2.5.5 jdk 1.8 没有操作刷新token功能,也没有放redis做缓存 1.先贴代码 2.后讲一下验证逻辑 1.导入依赖 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&gt
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
SpringBoot使用Jwt处理跨域认证问题的教程详解 SpringBoot使用Jwt处理跨域认证问题是目前前后端开发常见的问题,本文将详细介绍如何使用Jwt处理跨域认证问题。 首先,为什么需要用户认证呢?原因是由于HTTP协议...
SpringBoot+JWT实现单点登录解决方案
07-26
服务器验证旧的JWT,若有效则生成新的JWT并返回给客户端。 具体实现步骤如下: 1. 配置Spring Security,定义认证和授权流程。 2. 创建CAS服务器,处理用户登录请求并生成JWT。 3. 在子系统配置JWT的解析和验证,...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
为了解决这个问题,一种常见的方式是采用Token认证机制,如JWT(JSON Web Tokens)。但是,如果仍然希望使用Session,可以采取以下方法: 1. **配置跨域允许携带Cookie**:上面已经提到,通过设置"Access-Control-...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
springboot整合 shrio+jwt登录及权限控制.rar
05-20
在本文,我们将深入探讨如何在Spring Boot应用整合Shiro和JWT(JSON Web Token)以实现用户登录和接口权限控制。Spring Boot以其简洁、快速的特性被广泛应用于开发Java Web应用,而Shiro和JWT则分别是安全管理...
JWT状态保持
m0_56809584的博客
09-23 156
一.Cookie 1.cookie的概念 Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。 客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。 服务器还可以根据需要修改Cookie的内容 2.cookie的底层实现原理 服务器创建cooki...
13---SpringBoot整合JWT,实现登录和拦截
Zero摄氏度的博客
01-01 2288
- JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 - 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录
Spring Boot整合Spring Security
11-20 578
综合概述 Spring Security 是 Spring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,SpringSecurity和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部.
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2242
Springboot +spring security,解决跨域问题
【实现方案】Springboot整合token的权限管理实现(三)—— 解决token或cookie过期后的跨域问题
weixin_43742184的博客
11-14 1553
前置说明 在token拦截器,处理非法 (包含过期)token 的方法无非就是两种,一种是直接 return false,另一种是 throws Exception。如果是使用 throws Exception ,那么直接 http status code 就是500,在前端也很好捕捉。但是如果直接 return false,那浏览器还是会报出跨域请求的错误。 解决方案 问题原因 其实导致这个问...
找工作再也不愁之面试题全覆盖-项目相关
墨家巨子@俏如来
12-19 2556
如果有人用脚本刷你们的短信接口怎么办 首先,可以设置图形验证码,流量错峰 其次,可以获取请求的ip地址,手机号,发送时间,并保存到发送短信记录的日志,对于短时间多次请求的ip地址,手机号,可以拦截不执行发送手机验证码 再次,可以设置单位时间内发送短信的总数量,比如设定1秒最多只发送10条验证码。但这种方式会降低并发性 使用Nginx+Lua也可以做防刷,和黑名单 非对称加密,什么是数字签名 非对称加密是一种算法,指的是加密和解密时使用不同的密钥,叫着公私钥 数字签名就是在非对称加密的基础上,使用私钥加密,
jwt如何防止token被窃取_SpringBoot系列之前后端接口安全技术JWT
weixin_39847437的博客
11-22 6119
作者|smileNicky来源 |cnblogs.com/mzq123/p/13278935.html1.什么是JWT?JWT的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的W...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值