vue3+golang-jwt前后端分离实现token验证

已于 2022-03-31 19:38:27 修改
阅读量2.6k 收藏 12
点赞数 6
文章标签: golang vue.js
于 2022-03-31 19:37:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51507240/article/details/123878839
版权

        今天练习token登录认证,发现网上查的资料大多都看不懂,然后自己琢磨了半天勉强实现了这个功能,记录一下,博主是小白,大伙勿喷……

        首先我们的前端发送一个http请求给后端,一般登录验证为POST请求,这里使用fetch方法来发起请求,具体fetch的用法可以自行上网查,原理跟axios相差不大:

    const handleLogin = () => {
      let url='api/user/login';
      fetch(url,{
        method: 'POST', 
        mode: 'cors',
        cache: 'no-cache',
        credentials: 'same-origin',
        headers: new Headers({
          'Content-Type': 'application/json',
        }),
        redirect: 'follow',
        body: JSON.stringify(formData)
      }).then((v)=>{
        return v.json();  //用json序列化函数处理响应的数据
      }).then((v)=>{
        //如果该响应的结果为空
        if(!v){
          message.error("null respone!")
        }
       if(v.status===2005){
         message.error(v.msg);
         return
       }else if(v.status===200||v.status===201){
         message.success("进入聊天室成功")
        //  console.log(v.data.token)
         localStorage.setItem("token",v.data.token);
         setTimeout(() => {
           routers.push('/chat')
         }, 1500);
       }
      }).catch((err) => {
          // console.log(err);
          message.error(err);
        });
    };

PS:上面的body中是携带了username和password,最后使用JSON.stringify()函数转化为json字符串传给后端

当请求成功后,后端会返回一个token,我们需要将token通过localStorage对象存储在本地浏览器中

localStorage.setItem("token",v.data.token);

             

 此时前端就拿到了token,之后便可以使用这个token去完成相应的路由守卫和请求拦截了。

 不过我们先来看看后端是如何生成token的:

首先这里直接先给出整个Login函数的处理:

//用户登录
func Login(w http.ResponseWriter, r *http.Request) {
	var err error
	//msg用于响应客户端,,msg.data里存放着用户信息
	msg := define.ReplyProto{
		Status: 200,
		Msg:    "success",
	}
	//如果不是请求方法不是post
	if strings.ToLower(r.Method) != "post" {
		msg.Status = -400
		msg.Msg = "invalid request,should be post"
		respone.Resp(w, &msg)
		return
	}
	//buf接收请求发送过来的用户信息
	buf, err := ioutil.ReadAll(r.Body)
	if err != nil {
		msg.Status = -403
		msg.Msg = err.Error()
		return
	}
	//如果请求的参数为空
	if buf == nil {
		msg.Status = -500
		msg.Msg = "invalid/nil request param"
		return
	}
	jsonMap := make(map[string]interface{})
	err = json.Unmarshal(buf, &jsonMap)
	if err != nil {
		fmt.Println("1:" + err.Error())
	}
	//获取用户名和密码
	username := jsonMap["username"]
	password := jsonMap["password"]
	//如果用户名或密码为空
	if username == "" || password == "" {
		msg.Status = -500
		msg.Msg = "invalid/empty user/password"
		respone.Resp(w, &msg)
		return
	}
	//连接数据库比对用户名和密码
	s := `select id,username from t_user where username = $1 and password=crypt($2,password) `

	var userID int
	result := dao.DB.QueryRow(context.Background(), s, username, password)
	err = result.Scan(&userID, &username)
	nonexistent := err == pgx.ErrNoRows
	//密码错误或者用户不存在
	if nonexistent {
		msg.Status = 2005
		msg.Msg = "用户名/密码错误,请重新登录!"
		respone.Resp(w, &msg)
		return
	}
	//创建token
	token, err := createToken(userID, username)
	if err != nil {
		msg.Status = 501
		msg.Msg = "生成token失败!"
		respone.Resp(w, &msg)
		return
	}
	msg.Data = []byte(fmt.Sprintf(`
    {"id":%d,"username":"%s","token":"%s"}`, userID, username, token))
	//响应客户端
	respone.Resp(w, &msg)
	return
}

具体的封装函数就不细追究,我们只需要关注一下如何生成token即可,登录成功后我们可以得到username和userid(password出于安全,我们一般是不操作这个数据的),这里的userid是用户注册时会生成的,我这里只要在查询数据库比对密码的时候返回一下userid和username即可(具体看每个人的思路是如何的),而这两个数据是可以拿来生成token的,此时我们就可以引进jwt包

import "github.com/dgrijalva/jwt-go"

封装一个CreateToken的函数,参数为username和userid来生成token

//自定义令牌
var mySigningKey = []byte("Key of Chery")

//创建token
func createToken(userid int, username interface{}) (s string, err error) {

	// Create the Claims
	claims := MyClaim{
		Username: username,
		Id:       userid,
		StandardClaims: jwt.StandardClaims{
			NotBefore: time.Now().Unix() - 60,    //生效时间,这里是一分钟前生效
			ExpiresAt: time.Now().Unix() + 60*60, //过期时间,这里是一小时过期
			Issuer:    "chery",                   //签发人
		},
	}
	//SigningMethodHS256,HS256对称加密方式
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	//通过自定义令牌加密
	ss, err := token.SignedString(mySigningKey)
	if err != nil {
		fmt.Println("生成token失败")
	}
	return ss, err
}

查看官方文档,我们可以使用jwt.NewWithClaims()函数来生成token,参数中claims是一个结构体(因此我们可以自定义自己的claims结构体,我上面定义的是MyClaims),而结构体里的jwt.StandardClaims{}类型则是定义token的规则,如过期时间,签发人,生效时间等……(因为token存在被盗的风险,因此建议有效时间设置短一些)

源码中给出的结构:

type StandardClaims struct {
	Audience  string `json:"aud,omitempty"`
	ExpiresAt int64  `json:"exp,omitempty"`
	Id        string `json:"jti,omitempty"`
	IssuedAt  int64  `json:"iat,omitempty"`
	Issuer    string `json:"iss,omitempty"`
	NotBefore int64  `json:"nbf,omitempty"`
	Subject   string `json:"sub,omitempty"`
}

 这里解释各个字段的意义:

  • 发行人:iss
  • 到期时间:exp
  • 主题:sub
  • 受众:aud
  • 编号:jti
  • 生效时间:nbf
  • 有效时间:exp
  • 签发时间:iat

第一个参数是指定一个加密方法,最后这个函数会返回一个Token的结构体,

func NewWithClaims(method SigningMethod, claims Claims) *Token {
   return &Token{
      Header: map[string]interface{}{
         "typ": "JWT",
         "alg": method.Alg(),
      },
      Claims: claims,
      Method: method,
   }
}

最后通过SignedString()函数使用我们自己定义的唯一令牌去生成token字符串,这个token就可以返回给前端了

func (t *Token) SignedString(key interface{}) (string, error) {
	var sig, sstr string
	var err error
	if sstr, err = t.SigningString(); err != nil {
		return "", err
	}
	if sig, err = t.Method.Sign(sstr, key); err != nil {
		return "", err
	}
	return strings.Join([]string{sstr, sig}, "."), nil
}

核心代码就只有几行罢了

        到这里我们的token是如何生成的就搞清楚了,那么接下来回到前端,我们需要设置一下路由守卫,和如何将每个请求都带上token:

        这里就简单的判断本地浏览器有无token,如果没有就说明一定没有登录,跳回到登录页。如果token存在则放行。但是这样做还不够,试想一下,如果有人知道我们的api接口和参数,是不是就可以直接使用postman等工具就可以把获得我们后端的数据了呢?因此前端需要在每次请求中都带上token,而后端则会再检验这个token的合法性,从而判断该请求是否合法……

//路由守卫
router.beforeEach((to,from,next)=>{
  console.log(to.name)
  let token=localStorage.getItem('token');
  //如果token存在则放行
  if(token){
    next();
  }else{
    if(to.name==='login'||to.name==='register'){
      next()
    }else{
      next('/login')
    }
  }
})

让每次请求都带上token有两种方法,一种是放到cookie中,另一种则是放在请求头header里,这里我们使用第二种方法,第一种方法有兴趣可以自行查找资料(这种方法没有第二种安全,容易被CSRF(跨站请求伪造)攻击):

很简单,只需要在请求前先获取本地的token,如果没有token则让用户重新登录,如果有,则添加进请求头里:

     let token=localStorage.getItem('token');
     if(!token){
       message.warning("身份已过期,请重新登录!")
       routers.push('/login');
       return
     }else{
       let url='/api/user/userList';
       fetch(url,{
        method: 'GET',
        mode: 'cors',
        cache: 'no-cache',
        credentials: 'same-origin',
        headers: new Headers({
          'Content-Type': 'application/json',
          'Authorization':'Bearer '+token,
        }),
        redirect: 'follow',   
       }).then((v)=>{
         return v.json()
       }).then((v)=>{
          if(!v){
            message.info("null respone!")
            return;
          }
          if(v.status===401||v.status===402){
            message.error("身份已过期,请重新登录!")
            routers.push('/login');
            return
          }else if(v.status===200||v.status===201){
              this.userList=v.data;
              console.log(this.userList);
          }
       }).catch((err)=>{
         console.log(err);
         message.error("系统错误!");
       })
     }

核心就是在请求头里添加一个Authorization字段来存放token,一般我们会再拼接一个"Bearer "字符串在前面。

 headers: new Headers({
          'Content-Type': 'application/json',
          'Authorization':'Bearer '+token,
        }),

axois同理:

axios.get(url, 
    {
        headers: {
            'Authorization': 'Bearer ' + token,
        },
        params: {
            ……
        }
    }
)

 这样我们的后端就能获得这个token了,那么后端要如何验证这个token是否合法呢?

这里的处理方法也十分简单,就是直接通过request.Header即可获得请求头了,而header是一个map[string] []string类型的map,因此直接取就可以了,最后除去"Bearer ",即我们想要的token了,注意这里我们还需要判断token的长度是否小于或等于7,如果是的话证明只有"Bearer "或者是非法的token,为了避免我们下面截取字符串的操作不会发生越界,因此这个很重要!

    var err error
	//连接成功
	msg := define.ReplyProto{
		Status: 0,
		Msg:    "success",
	}
	//从请求头中获取token
	header := r.Header
	//如果token为空
	if header["Authorization"] == nil {
		msg.Status = 402
		msg.Msg = "token为空"
		respone.Resp(w, &msg)
		return
	}
	//获得想要的token部分
	token := header["Authorization"][0]
	if len(token)<=7{
		msg.Status = 402
		msg.Msg = "非法token"
		respone.Resp(w, &msg)
		return
	}
	token = token[7:]
	//验证token是否合法和过期
	err = user.ConfirmToken(token)
	if err != nil {
		msg.Status = 401
		msg.Msg = "token过期或者为非法token"
		respone.Resp(w, &msg)
		return
	}

这里我们就可以再封装一个检验token的ConfirmToken函数了,根据官方文档,我们可以使用jwt.ParseWithClaims函数去解析,需要传入一个token字符串,和我们自定义的MyClaims结构体的空接口实现以及一个keyfun()函数,需要我们去返回一个我们自定义的令牌。这个函数最后会返回一个Token结构体,通过断言即可获得我们想要的参数,从而可以使用这些参数去进行进一步的验证和使用:

func ConfirmToken(token string) (err error) {
	Token, err := jwt.ParseWithClaims(token, &MyClaim{}, func(token *jwt.Token) (interface{}, error) {
		return mySigningKey, nil
	})
	if err != nil {
		fmt.Println(err.Error())
		return err
	}
	fmt.Println(Token.Claims.(*MyClaim).Username)
	fmt.Println(Token.Claims.(*MyClaim).Id)
	return err
}

 如果token是非法的或者是过期的,则会返回一个err,打印出来就类似于我下面那个token is expired by 55m39s,意思就是这个token已经过期了

 OK,到这里就基本完成了整个前后端分离的token验证啦!如果想要了解得更深入,可以自行去查看下源码

online、
关注
Spring Boot 集成JWT实现前后端认证
xxxzzzqqq_的博客
03-09 287
JWT(全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。时代在进步,技术也在不断更新,以前采用Session+Redis实现单点登录,现在可以替换为jwt+Redis实现,我们只有不断的更新自己的技术栈,才能避免被无情的淘汰,关于使用注解方式实现token刷新,将在后续文章中进行讲解。
基于JWT前后端token认证
weixin_43186630的博客
08-25 246
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个se
Vue3】前端使用JWT令牌技术的实践方案
最新发布
Prelude4的博客
07-30 597
简单介绍JWT令牌技术在前端开发当中的应用
前后端分离中使用基于jwttoken进行身份认证
yfy的博客
09-18 2635
基于jwtToken认证机制可以看之前的文章: 基于JWTToken认证机制实现前后端分离中,我们与前端约定一种身份认证机制。当用户登录的时候,我们会返回给前端一个token,前端会将token拿到并按照一定规则放到header中在下一次请求中发送给后端,后端进行token身份校验。 这里我们约定前端请求后端服务时需要添加头信息Authorization ,内容为Test:+空...
Golang JWT 认证 (二)-前端 Vue3 + axios
LeoForBest的博客
08-29 429
接上一篇,本篇以Vue3 + elementplus + axios 制作一个前段界面来测试使用 实现一个简单的登录登出,请求API效果
[golang] 实现 jwt 方式登录
咸鱼老罗的博客
02-13 1000
JSON Web Token(缩写 JWT)是目前流行的跨域认证解决方案,原理是生存的凭证包含标题 header,有效负载 payload 和签名组成。用户信息payload中,后端接收时只验证凭证是否有效,有效就使用凭证中的用户信息。签名是通过标题 header,有效负载 payload 和密钥(后端保存,不可泄露)生成JWT 介绍:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html。
gin框架学习-JWT认证
林钟一的博客
07-12 1783
gin框架学习-JWT认证
在Gin中使用JWT做认证以及JWT的续签方案
Monkey_D_Newdun的博客
01-31 3034
记录了一下在Gin中简单的使用JWT,并且想了一个简单的Token续签方案,不需要服务端保存Token的状态,前端也不需要过多的配合
钉钉扫码登录接入WEB第三方系统---前端 vue 后台golang
AsBefore麦小兜
05-29 5068
1、首先在钉钉开放平台,配置移动接入应用的登录,域名,获取appid 和appSecret,(后台服务需要) 2、我在前端的登录页面放置了钉钉的扫码登录的二维码, login.vue代码 <template> <div class="login-container"> <div id="login_container" class="dingding_scan" ></div> </div> </t...
vue 中使用jwt 生成token
wwf1225的博客
09-18 2570
安装jwt: "jsonwebtoken":"^8.5.1", getToken(){ constjwt=require("jsonwebtoken");//引入jwt //constsecret="thisisaprivatekey";//指定一个用于生成token的密钥字符串 constsecret="wwf";//指定一个用于生成token的密钥字符串 consttok...
shiro之前后端分离(基于jwttoken安全认证)
weixin_45390688的博客
12-25 6102
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
【Springboot】Vue3-Springboot引入JWT实现登录校验以及常见的错误解决方案
SKMIT的博客
11-08 1165
项目版本:后端: Springboot 2.7、 Mybatis-plus、Maven 3.8.1数据库:MySQL 8.0前端:Vue3、Axois 1.6.0 、Vite 4.5.0、Element-Plus、Router-v4JWT 全称 JSON Web Token,是一种基于 JSON 的数据对象,通过技术手段将数据对象签名为一个可以被验证和信任的令牌(Token)在客户端和服务端之间进行安全的传输。
Java实现Token登录验证(基于JWTtoken认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
前后端怎么认证鉴权(jwt认证token),加油
m0_50808883的博客
06-14 70
这篇文章抄的https://www.cnblogs.com/yuanchangliang/p/16373162.html,但是主要是给自己看的,嘻嘻,侵权删,好好学校天天向上
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 4095
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成验证工具类的基础上),第一步就是登录认证成功后如何将生成jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
SpringBoot集成jwt,解决前后端分离token跨域验证问题
weixin_46608377的博客
07-17 1163
在之前进行登录验证的,主要用的是session的方式,session是由客户端首次发起请求,后端为此创建空间,返回给前端用来身份识别标识sessionId,前端基于cookie存储起来,在后面的请求中都会携带sessionId,后端就会根据这sessionId识别出身份信息。前端sessionid是基于cookie进行存储的。这种方式会存在安全问题,如果被不法分子拦截这个sessionId或cookie信息,就能跳过后端验证,从而盗取你的信息。而且seesion这种方式容易占用到服务端的内存空间。
Vue3 + Express + JWT:前端持久化登录实现验证细节
本文档介绍了如何在Vue 3应用中实现与Express后端配合使用JWT(JSON Web Tokens)进行持久化登录的功能。作者首先强调了使用环境,即前端使用Vue 3框架,后端则采用Node.js和Express。为了实现这个功能,文档涉及的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值