token在前后端分离的应用(不包含分布式)

最新推荐文章于 2024-05-20 20:22:32 发布
最新推荐文章于 2024-05-20 20:22:32 发布
阅读量86 收藏
点赞数
文章标签: wpf 状态模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59766629/article/details/134318376
版权

前后端分离

一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。

但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了

SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式的扩展,虽然SpringSecurity也支持采用SpringSession来管理分布式下的用户状态,不过现在分布式的还是无状态的Jwt比较主流。 所以怎么让SpringSecurity变成前后端分离,可以采用Jwt来做认证

什么是jwt

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

官网: JSON Web Token Introduction - jwt.io

    1. jwt的结构

Header

Header 部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。

{

"alg": "HS256",    

"typ": "JWT"          

}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256 (写成 HS256) ;typ属性表示这个令牌(token)的类型(type), JWT令牌统一写为JWT。

最后,将上面的JSON对象使用Base64URL算法转成字符串。

Payload(载荷)

Payload 部分也是一个JSON对象,==用来存放实际需要传递的数据==。JWT规定了7个官方字段,供选用。在使用时不用存放敏感数据。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (lssued At):签发时间

jti (JWT ID):编号

除了官方字段,==你还可以在这个部分定义私有字段==,下面就是一个例子。

{

"sub": "1234567890",

"name" : "John Doe",

“userid”:2

"admin": true

}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把==秘密信息==放在这个部分。这个JSON 对象也要使用Base64URL 算法转成字符串。

Signature

Signature部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个==密钥(secret)==。这个密钥只有==服务器才知道==,不能泄露给用户。然后,使用Header里面指定的==签名算法(默认是 HMAC SHA256)==,按照下面的公式产生签名。

HMACSHA256(

base64UrlEncode(header) + ".”"+base64UrlEncode(payload),

secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

项目添加hutool依赖

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.16</version>
        </dependency>

认证成功

实现AuthenticationSuccessHandler接口,当登录成功后,该处理类的方法被调用

其中xsy是密钥,使用时不会像作者使用的这么随意,在yml或者properties文件中也可以配置

认证失败

实现AuthenticationFailureHandler接口,当登录失败后,该处理类的方法被调用

返回的结果一定要转换为json格式,不然会报错

权限不足

实现AccessDeniedHandler接口,当登录后,访问接口没有权限的时候,该处理类的方法被调用

注销

实现LogoutSuccessHandler接口,注销的时候调用

package com.example.securitydemo.util;


import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.stereotype.Component;


import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;


    /**
     * 退出成功之后的handler
     * @return
     */

    private LogoutSuccessHandler getLogOut() {
        return (httpServletRequest, response, authentication) -> {
            Result result = new Result(200,"退出成功",null);
            printJsonData(response,result);
        };
    }
 

@Bean
    public SecurityFilterChain  filterChain(HttpSecurity http) throws Exception{
        http.formLogin()
                .successHandler(getSuccessHandler())
                .failureHandler(getFailtureHandler())
                .permitAll()
                .and()
                .logout().logoutUrl("/logout").logoutSuccessHandler(getLogOut()) // 退出路径是/logout 成功 index.html

                .and().addFilterBefore(jwtValidateFilter, UsernamePasswordAuthenticationFilter.class)
                //.and().addFilterBefore(jwtValidateFilter, LogoutFilter.class)
                //.and().authorizeRequests().antMatchers("/my/**").hasAnyRole("admin2","admin")//.hasAnyAuthority("admin","admin2")
                .exceptionHandling().accessDeniedHandler(getAccessDefined())// 403异常的时候
                .and()
                .authorizeRequests().antMatchers("/","/login").permitAll()
                .anyRequest().authenticated() // 除去上面的你写路径其他的路径全部需要认证
                .and().cors()// 允许跨域
                .and()
                .csrf().disable();
        return http.build();

    }

OncePerRequestFilter

一个过滤器OncePerRequestFilter

上面我们在登录成功后,返回了一个token,那怎么使用这个token呢?

前端发起请求的时候将token放在请求头中,在过滤器中对请求头进行解析。

如果有Token的请求头(可以自已定义名字),取出token,解析token,解析成功说明token正确,将解析出来的用户信息放到SpringSecurity的上下文中

如果有Token的请求头,解析token失败(无效token,或者过期失效),取不到用户信息,放行

没有accessToken的请求头,放行

为什么token失效都要放行呢?

这是因为SpringSecurity会自己去做登录的认证和权限的校验,靠的就是我们放在SpringSecurity上下文中的SecurityContextHolder.getContext().setAuthentication(authentication);,没有拿到authentication,放行了,SpringSecurity还是会走到认证和校验,这个时候就会发现没有登录没有权限。

OncePerRequestFilter是Spring Boot里面的一个过滤器抽象类,其同样在Spring Security里面被广泛用到

这个过滤器抽象类通常被用于继承实现并在每次请求时只执行一次过滤

注意:没有登录(第一次生成token)的要设置白名单,否则会报错 :token不完整

添加自定义过滤器到配置文件中

设置白名单

思考题:

无法使token失效怎么办

  1. 重新生成token:如果无法使现有的token失效,可以考虑重新生成一个新的token,并将其用于替代旧的token。这样可以确保只有新的token才能被有效使用。

  2. 强制注销:如果系统支持,可以通过强制注销用户会话的方式来使token失效。这可以通过在服务器端维护一个会话列表,并在需要时将某个会话从列表中移除来实现。

  3. 修改token验证逻辑:如果无法使token失效,可以考虑修改token验证逻辑,使其在验证token时同时检查token的有效期和其他相关条件。这样可以确保即使token没有被主动失效,也只有符合一定条件的token才能被接受。

  4. 增加额外的安全措施:如果无法使token失效,可以考虑增加其他的安全措施来减轻风险。例如,可以增加多因素身份验证,要求用户在每次操作时都输入额外的验证码或密码。

  5. 修改token存储方式:如果无法使token失效,可以考虑修改token的存储方式。例如,可以将token存储在数据库中,并在需要时更新或删除对应的token记录。

   

token续期问题

  1. 增加token的有效期:可以将token的有效期延长,确保在用户使用过程中token不会过期。这样可以减少token续期的频率,但也会增加token泄露的风险。

  2. 使用刷新token:在token快要过期时,可以使用一个刷新token来获取新的有效token。用户在每次使用token时,都会检查token的有效期,如果快要过期了,就使用刷新token来获取新的token。这样可以实现token的无缝续期,提供更好的用户体验。

  3. 实时续期:在用户每次使用token时,都向服务器发送请求,服务器验证token的有效性,并在需要时自动续期。这种方法可以确保token始终保持有效,但会增加服务器的负载,需要更多的资源。

  4. 定期续期:在用户每次使用token时,服务器验证token的有效性,如果快要过期了,就要求用户重新登录,获取新的token。这种方法简单直接,但会增加用户的操作步骤,可能会影响用户体验。

       (上述回均为gpt回答,还请各位自己多思考一下)

前端:

登陆页面

<template>


  <div class="login-container">
  <el-form :model="ruleForm" status-icon :rules="rules" ref="ruleForm" label-width="100px" class="login-form">
    <el-form-item label="用户名" prop="username">
      <el-input type="text" v-model="ruleForm.username" autocomplete="off"></el-input>
    </el-form-item>
    <el-form-item label="确认密码" prop="password">
      <el-input type="password" v-model="ruleForm.password" autocomplete="off"></el-input>
    </el-form-item>


    <el-form-item>
      <el-button type="primary" @click="submitForm('ruleForm')">提交</el-button>
      <el-button @click="resetForm('ruleForm')">重置</el-button>
    </el-form-item>
  </el-form>
  </div>


</template>


<script>


    export default {
      data() {
        var checkName = (rule, value, callback) => {
          if (!value) {
            return callback(new Error('名字不能为空'));
          }else{
            callback();
          }


        };
        var validatePass = (rule, value, callback) => {
          if (value === '') {
            callback(new Error('请输入密码'));
          } else {
            callback();
          }
        };


        return {
          ruleForm: {
            username: '',
            password: '',


          },
          rules: {
            password: [
              { validator: validatePass, trigger: 'blur' }
            ],


            username: [
              { validator: checkName, trigger: 'blur' }
            ]
          }
        };
      },
      methods: {
        submitForm(formName) {
          this.$refs[formName].validate((valid) => {
            if (valid) {
              //alert('submit!');
              this.$axios.post(`userlogin?uname=${this.ruleForm.username}&&pwd=${this.ruleForm.password}`)
                .then((d)=>{
                   sessionStorage.setItem("token",d.data.t[0]);
                   sessionStorage.setItem("user",d.data.t[1]);


                  this.$router.push("/main")
              });


            } else {
            //  console.log('error submit!!');
              return false;
            }
          });
        },
        resetForm(formName) {
          this.$refs[formName].resetFields();
        }
      }
    }
</script>


<style scoped>


  .login-form {
    width: 350px;
    margin: 160px auto; /* 上下间距160px,左右自动居中*/
    background-color: rgb(255, 255, 255,0.8); /* 透明背景色 */
    padding: 30px;
    border-radius: 20px; /* 圆角 */
  }


  /* 背景 */
  .login-container {
    position: absolute;
    width: 100%;
    height: 100%;
    background: url("../assets/timg.png");
  }


  /* 标题 */
  .login-title {
    color: #303133;
    text-align: center;
  }


</style>





main
<template>
  <el-container style="height: 100%;">
    <el-header>
      <div class="logo">
        <i class="el-icon-setting"></i>MY系统-yyl
      </div>
      <div class="info">
        {{user}}
        <el-dropdown>
          <span class="el-dropdown-link">
            <i class="el-icon-user-solid"></i>
            <i class="el-icon-caret-bottom el-icon--right"></i>
          </span>
          <el-dropdown-menu slot="dropdown">
            <el-dropdown-item><span @click="logout">注销</span></el-dropdown-item>
          </el-dropdown-menu>
        </el-dropdown>
        <el-dropdown>
          <span class="el-dropdown-link">
            <i class="el-icon-s-tools"></i>
            <i class="el-icon-caret-bottom el-icon--right"></i>
          </span>
          <el-dropdown-menu slot="dropdown">
            <el-dropdown-item>设置</el-dropdown-item>
          </el-dropdown-menu>
        </el-dropdown>
        <el-dropdown>
          <span class="el-dropdown-link">
            <i class="el-icon-phone-outline"></i>
            <i class="el-icon-caret-bottom el-icon--right"></i>
          </span>
          <el-dropdown-menu slot="dropdown">
            <el-dropdown-item>个人信息</el-dropdown-item>
          </el-dropdown-menu>
        </el-dropdown>
      </div>
    </el-header>
    <el-container>
      <el-aside width="200px">


        <el-menu
            :router="true"
            class="el-menu-vertical-demo"
            unique-opened
            text-color="#333333"
            active-text-color="orange"
        >
          <!--有二级菜单的使用el-submenu 没有二级菜单的使用el-menu-item-->


<!--          <template v-for="m,mIndex in menuData">-->
<!--            &lt;!&ndash;因为index必须是一个字符串  我的数据库里面使用的是int类型所以在这里需要加上‘’&ndash;&gt;-->
<!--            <el-submenu v-if="m.menus.length>0" :key="mIndex" :index="''+mIndex">-->
<!--              <template slot="title"><i :class="m.icon"></i>{{m.name}}</template>-->
<!--              <el-menu-item-group>-->
<!--                <el-menu-item v-for="sm,smIndex in m.menus"-->
<!--                              :index="''+mIndex+'-'+smIndex"-->
<!--                              :route="sm.path"-->
<!--                              :key="smIndex"><span>{{sm.name}}</span></el-menu-item>-->
<!--              </el-menu-item-group>-->
<!--            </el-submenu>-->
<!--            <el-menu-item v-else :key="mIndex" :index="''+mIndex" :route="m.path" >-->
<!--              <i :class="m.icon"></i><span slot="title">{{m.name}}</span>-->
<!--            </el-menu-item>-->


<!--          </template>-->
        </el-menu>


      </el-aside>
      <el-main>
        <router-view ></router-view>
      </el-main>
    </el-container>
  </el-container>
</template>


<script>


export default {
  name: "MainFrame",


  data(){
    return{
      user:"",
      menuData:[],
      //adminUser:this.$store.getters.getAdminUser
    }
  },
  methods:{
    hello(){
      this.$axios.get("hello").then(r=>{
         alert(r.data.t);
      })
    },
    logout(){
         this.$axios.get("logout").then(r=>{
           alert(r.data.code);
           if(r.data.code == 200){
            // alert("推出成功");
             sessionStorage.clear();
             this.$router.push("/")
           }
         })
    },


  },mounted(){
this.hello();




  },created(){
    let itemssss = sessionStorage.getItem("user");
    alert(itemssss);
    this.user=itemssss;




  }
}
</script>


<style scoped>
.el-header{
  background-color: #4a4a4a;
  color: #333;
  line-height: 60px;
  position: relative;
}
.el-header .logo
{
  position: absolute;
  left:0px;
  top:0px;
  width:190px;
  height:60px;
  color:white;
  padding-left: 10px;
  background-color: #24383a;
}


.el-header .info
{
  position: absolute;
  top:0px;
  right:20px;
  width:200px;
  height:60px;
  text-align: left;
}
.el-header .info .el-dropdown{
  color: white;
  cursor: pointer;
  margin-right: 20px;
}


.el-main {
  background-color: #E9EEF3;
  color: #333;
  text-align: center;
}
</style>

路由拦截器(如果各位想增加程序健壮性,还可增加响应拦截器,如果不想,就当我没说

router.beforeEach((to,from,next)=>{
  if(to.path=='/login' || sessionStorage.getItem('token')){
    next();
  }else{
    alert('请登录');
    next('/');
  }
});

to: Route: 即将要进入的目标 路由对象
from: Route: 当前导航正要离开的路由
next: Function: 一定要调用该方法来 resolve 这个钩子。
执行效果依赖 next 方法的调用参数。
next(): 进行管道中的下一个钩子。
如果全部钩子执行完了,则导航的状态就是 confirmed (确认的)。
next(false): 中断当前的导航。
如果浏览器的 URL 改变了(可能是用户手动或者浏览器后退按钮),
那么 URL 地址会重置到 from 路由对应的地址。
next(‘/’) 或者 next({ path: ‘/’ }): 跳转到一个不同的地址。
当前的导航被中断,然后进行一个新的导航。

请求拦截器:

axios1.interceptors.request.use(function (config) {
  let token =localStorage.getItem("token");
  if (token) {
    config.headers['Authorization'] = token;
  }
  return config;
})

自定义指令实现细粒度的按钮显示等控制(例:如果我们想控制某个角色或者拥有某项权限才能看到编辑按钮)

介绍自定义的指令

除了核心功能默认内置的指令 (v-modelv-show),Vue 也允许注册自定义指令。注意,在 Vue2.0 中,代码复用和抽象的主要形式是组件。然而,有的情况下,你仍然需要对普通 DOM 元素进行底层操作,这时候就会用到自定义指令。

一个指令定义对象可以提供如下几个钩子函数 (均为可选):

  • bind:只调用一次,指令第一次绑定到元素时调用。在这里可以进行一次性的初始化设置。
  • inserted:被绑定元素插入父节点时调用 (仅保证父节点存在,但不一定已被插入文档中)。
  • update:所在组件的 VNode 更新时调用,但是可能发生在其子 VNode 更新之前。指令的值可能发生了改变,也可能没有。但是你可以通过比较更新前后的值来忽略不必要的模板更新 (详细的钩子函数参数见下)。
  • componentUpdated:指令所在组件的 VNode 及其子 VNode 全部更新后调用。
  • unbind:只调用一次,指令与元素解绑时调用。

接下来我们来看一下钩子函数的参数 (即 elbindingvnodeoldVnode)。

钩子函数参数

指令钩子函数会被传入以下参数:

  • el:指令所绑定的元素,可以用来直接操作 DOM。

binding:一个对象,包含以下 property:

    • name:指令名,不包括 v- 前缀。
    • value:指令的绑定值,例如:v-my-directive="1 + 1" 中,绑定值为 2
    • oldValue:指令绑定的前一个值,仅在 updatecomponentUpdated 钩子中可用。无论值是否改变都可用。
    • expression:字符串形式的指令表达式。例如 v-my-directive="1 + 1" 中,表达式为 "1 + 1"
    • arg:传给指令的参数,可选。例如 v-my-directive:foo 中,参数为 "foo"
    • modifiers:一个包含修饰符的对象。例如:v-my-directive.foo.bar 中,修饰符对象为 { foo: true, bar: true }
  • vnode:Vue 编译生成的虚拟节点。移步 VNode API 来了解更多详情。
  • oldVnode:上一个虚拟节点,仅在 updatecomponentUpdated 钩子中可用。

除了 el 之外,其它参数都应该是只读的,切勿进行修改。如果需要在钩子之间共享数据,建议通过元素的 dataset 来进行。

// 注册一个全局自定义指令 `v-hasAuthorization`

Vue.directive('hasAuthorization', {
  // 初始化设置。
  bind: function (el) {
   //具体的自己的业务逻辑
     const roles = localStorage.getItem('roles');
    if(!(localStorage.getItem('roles').indexOf('test') > -1)){
      el.setAttribute('style','display:none')
    
  }
})

在需要使用的页面定义即可

js代码:

import Vue from "vue"
Vue.directive('hasAuthorization',{
  bind: (el) => {
    let user=localStorage.getItem("user");


    const roles = localStorage.getItem('roles');
    if(!(localStorage.getItem('roles').indexOf('test') > -1)){
      el.setAttribute('style','display:none')
    }
  }
})

页面代码

<el-button type="text" icon="el-icon-edit" v-hasAuthorization >编辑</el-button>

写的灵活一点

Vue.directive('has', {
  inserted: function (el, binding) {
    if (!Vue.prototype.$_has(binding.value)) {
      el.parentNode.removeChild(el);
    }
  }
});
//权限检查方法
Vue.prototype.$_has = function (value) {
  let isExist = false;
  let user = sessionStorage.getItem("user");
  console.log("admin" === user)
  if ("admin" === user) {
    return true;
  }
  let premissionsStr = sessionStorage.getItem("roles");
  if (premissionsStr == undefined || premissionsStr == null) {
    return false;
  }
  if (premissionsStr.indexOf(value) > -1) {
    isExist = true;
  }
  return isExist;
};
weixin_59766629
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
laravel5.8 前后端分离 api注册登录请求
01-02
在用户表加api_token字段,前后端分离,实现最基本的注册登录api请求,用户注册登录时,需生成一个api_token
Springboot Security 前后端分离模式自由接口最小工作模型
宝华的小岛
11-24 603
但凡讲解Springboot Security的教程,都是根据其本身的定义,前后端整合在一起,登录采用form或者basic。我们需要纯粹使用自己的自由接口来实现注册登录,以及其他业务接口访问的身份验证和授权。这里的设计是用户身份验证与授权的模块跟业务模块的身份权限验证是分开的。过滤器设置的白名单跟此处配置的完全授权的白名单没有必然的关系。给定的权限是ROLE_USER,前面的ROLE_前缀是必须要加的,这是jsr250的权限校验规范要求的。两个接口文件,一个设计为UAA模块,一个设计为业务模块。
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4636
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRF? Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
详解前后端分离使用Token作为标识Shiro认证登录
lailai的博客
11-26 3583
思考 为什么需要用token来做?传统的session为什么不可以?token有何优势。 session在的问题 :①前后端分离项目,前端可能是web/app等,对于储sessionId的cookie问题;②session在CSRF跨站伪造请求攻击;③ 服务器压力增大,通常session储在内中,用户量大服务器压力也大;③ 服务器分布式部署情况下,session就会不一定获取的到,在不在一台服务器中的情况,拓展性很差。 token有何优势 :token与session的不同: ①认
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
thinkphp+jwt实现前后端分离
03-15
使用Thinkphp6+jwt 简单实现前后端分离
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
感受一下前后端分离
08-26
博客:https://blog.csdn.net/m0_37499059/article/details/82082825 1.springboot 2.跨域访问(CORS)和token校验 3.jjwt生成token 4.拦截器的使用 5.全局异常处理 6.postman工具使用
WPF拖放控件
xunmeng2002的专栏
05-20 176
对拖放相关事件研究后发现,最终只需要在拖动源事件处理程序中调用 DoDragDrop 方法启动拖动操作,然后在拖放目标上,响应Drop事件。除了正常拖动(将Tab页从一个TabControl 拖动到另一个 TabControl 中),考虑将Tab页拖动到窗口之外的情况(浏览器在这种情况下会创建一个新的窗口来显示这个Tab页),我这里采用类似的方式,创建一个预设的子窗口来显示该Tab页面。此外,当Tab页面在原TabControl内部拖动时,根据拖动位置,调整Tab页面的顺序。
OpenFeign微服务调用组件使用
最新发布
w2144217940的博客
05-20 274
Feign是Netflix开发的声明式、模版化的HTTP客户端。Feign可以做到使用 HTTP 请求远程服务时就像调用本地方法一样的体验,开发者完全感知不到这是远程方法,更感知不到这是个 HTTP 请求,开发者无需关注与远程的交互细节,更无需关注分布式环境开发。
.Net8.0 Blazor Hybird 桌面端 (WPF/Winform) 发布到 Win7+
alex_zoucn的博客
05-13 2686
Win7+ 运行 Blazor Hybird 桌面端 (WPF/Winform) 依赖的环境
SpringSession原理简析
学习总结
05-20 548
Session的原理Session是服务器的一种用来放用户数据的类哈希表结构,当浏览器第一次发送请求的时候服务器会生成一个hashtable和一个sessionid,sessionid来唯一标识这个hashtable,响应的时候会通过一个响应头set-cookie返回给浏览器,浏览器再将这个sessionid储在一个名为JESSIONID的cookie中。
WPF中将多个函数返回值分别绑定至界面控件
weixin_46846685的博客
05-14 836
WPF的一个优势是对于逻辑层中数据在界面的展示具有很好的支持,可通过Binding即数据绑定实现。本文的应用场景为使用数据绑定实现:使用界面中Textbox控件获取用户的输入,然后进行一定的函数运算,随输入的变化实时将函数返回值显示至界面的TextBlock控件。文中使用了ObjectDataProvider和INotifyPropertyChanged自定义类实现单个和多个函数返回值的绑定。
从零开始搭建SpringCloud Alibaba微服务架构
小筱在线博客
05-20 622
Spring Cloud Alibaba通过与Spring Cloud集成,提供了丰富的功能和工具,帮助开发者快速构建和部署分布式应用。它提供了一种简单、灵活的方式来实现微服务架构,同时也提供了可靠的服务注册、配置管理和流量控制等功能。
WPF 支持多语言小工具项目快速搭建
qq_38138159的博客
05-16 851
资源文件名 en-US或zh-CN
WPF Border触发器不生效问题
qq_59062726的博客
05-20 107
触发器使用,触发器不生效
设计模式-状态模式
weixin_51832365的博客
05-20 169
状态(State)模式的定义:对有状态的对象,把复杂的“判断逻辑”提取到不同的状态对象中,允许状态对象在其内部状态发生改变时改变其行为。
springboot jwt token前后端分离_前后端分离之JWT用户认证
06-09
好的,关于 Spring Boot JWT Token前后端分离问题,我可以为您提供一些帮助。 JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安全传输声明。在前后端分离应用中,通常会使用 JWT 来实现用户认证和授权。 下面是一个简单的示例,演示了如何在 Spring Boot 应用中使用 JWT 和前后端分离的方式进行用户认证。 首先,您需要在后端应用中添加 JWT 相关的依赖。可以使用以下 Maven 依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 接下来,您需要编写一个 JWT 工具类,用于生成和验证 JWT。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import javax.crypto.SecretKey; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; private static final String CLAIM_KEY_USERNAME = "sub"; private static final String CLAIM_KEY_CREATED = "iat"; private SecretKey generateKey() { return Keys.hmacShaKeyFor(secret.getBytes()); } public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put(CLAIM_KEY_USERNAME, username); claims.put(CLAIM_KEY_CREATED, new Date()); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000)) .signWith(generateKey(), SignatureAlgorithm.HS512) .compact(); } public Claims getClaimsFromToken(String token) { return Jwts.parserBuilder() .setSigningKey(generateKey()) .build() .parseClaimsJws(token) .getBody(); } public boolean isTokenExpired(String token) { Claims claims = getClaimsFromToken(token); Date expiration = claims.getExpiration(); return expiration.before(new Date()); } public boolean validateToken(String token, String username) { Claims claims = getClaimsFromToken(token); String subject = claims.getSubject(); Date expiration = claims.getExpiration(); return subject.equals(username) && !expiration.before(new Date()); } } ``` 在这个工具类中,我们使用了 io.jsonwebtoken 库来实现 JWT 的生成和验证。在生成 JWT 时,我们使用了一个密钥(secret)来签名 JWT。在验证 JWT 时,我们还检查了 JWT 中保的用户名和过期时间是否正确。 接下来,您需要在 Spring Boot 应用中添加一个 JWT 认证过滤器,用于在请求到达后端之前验证 JWT。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String header = request.getHeader("Authorization"); if (header != null && header.startsWith("Bearer ")) { String token = header.substring(7); String username = jwtUtils.getClaimsFromToken(token).getSubject(); if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtUtils.validateToken(token, username)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(authentication); } } } chain.doFilter(request, response); } } ``` 在这个过滤器中,我们从请求头中获取 JWT,然后使用之前编写的 JwtUtils 工具类来验证 JWT。如果 JWT 验证成功,则将用户信息添加到 Spring Security 的认证上下文中。 最后,在 Spring Boot 应用中添加一个登录接口,用于生成 JWT。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.http.ResponseEntity; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.AuthenticationException; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.web.bind.annotation.*; import java.util.HashMap; import java.util.Map; @RestController @RequestMapping("/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) throws AuthenticationException { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); String token = jwtUtils.generateToken(userDetails.getUsername()); Map<String, Object> response = new HashMap<>(); response.put("token", token); return ResponseEntity.ok(response); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在这个登录接口中,我们首先使用 Spring Security 的 AuthenticationManager 来验证用户信息。如果验证成功,则使用 JwtUtils 工具类生成 JWT,并将 JWT 返回给前端应用。 以上就是一个简单的 Spring Boot JWT Token前后端分离示例。希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值