登录相关功能的优化【JWT令牌+拦截器+跨域】

已于 2024-08-05 22:28:39 修改
阅读量485 收藏 11
点赞数 8
分类专栏: Java注意 java要笑着学 操作系统哪些事? 文章标签: vue.js 前端 javascript
于 2024-08-05 22:11:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64308540/article/details/140938019
版权

登录相关功能的优化

  1. 登录后显示当前登录用户
  2. el-dropdown: Element - The world's most popular Vue UI framework
<el-dropdown style="float: right; height: 60px; line-height: 60px">
  <span class="el-dropdown-link" style="color: white; font-size: 16px">{{ user.name }}<i class="el-icon-arrow-down el-icon--right"></i></span>
  <el-dropdown-menu slot="dropdown">
    <el-dropdown-item>
      <div @click="logout">退出登录</div>
    </el-dropdown-item>
  </el-dropdown-menu>
</el-dropdown>
  1. 登录成功后,将登录的用户信息存储到前端的localStorage里
localStorage.setItem("user", JSON.stringify(res.data));
  1. 登录成功后,从localStorage里获取当前的登录用户
data () {
  return {
    user: localStorage.getItem("user") ? JSON.parse(localStorage.getItem("user")) : {},
  }
},
  1. 退出登录后,清localStorage,跳到登录页
methods: {
  logout() {
    localStorage.removeItem("user");
    this.$router.push("/login");
  }
}

这样安全吗??
肯定不安全,用户可以跳过登录,直接在浏览器上输入后台的路由地址,即可直接进入系统,访问敏感数据。

前端路由守卫

在路由配置文件index.js里,配上路由守卫

// 路由守卫
router.beforeEach((to ,from, next) => {
  if (to.path ==='/login') {
    next();
  }
  const user = localStorage.getItem("user");
  if (!user && to.path !== '/login') {
    return next("/login");
  }
  next();
})

这样就安全了吗??
还是不安全,因为前端的数据是不安全的,是可以认为篡改的!就是说,鉴权放在前端,是不安全的。我们的登录鉴权肯定是要放在服务端来完成。

使用jwt在后端进行鉴权

在用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。

  1. pom.xml
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.3.7</version>
</dependency>
  1. 给后台接口加上统一的前缀/api,然后我们统一拦截该前缀开头的接口,所以配置一个拦截器(这个可有可无,看自己意愿)
import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.config.annotation.PathMatchConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
// 使用@Configuration注解标记该类为配置类,用于替代xml配置文件
public class WebConfig implements  WebMvcConfigurer {
    @Override
    // 实现configurePathMatch方法,用于配置路径匹配策略
    public void configurePathMatch(PathMatchConfigurer configurer) {
        // 指定controller统一的接口前缀
        // 通过addPathPrefix方法为所有带有RestController注解的控制器添加"/api"前缀
        configurer.addPathPrefix("/api", clazz -> clazz.isAnnotationPresent(RestController.class));
    }
}

request封装里面,baseUrl也需要加个 /api 前缀

  1. Jwt配置

JwtTokenUtils.java
jwt的规则


import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.example.entity.Admin;
import com.example.service.AdminService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

@Component
public class JwtTokenUtils {

    private static AdminService staticAdminService;
    private static final Logger log = LoggerFactory.getLogger(JwtTokenUtils.class);

    @Resource
    private AdminService adminService;

    @PostConstruct
    public void setUserService() {
        staticAdminService = adminService;
    }

    /**
     * 生成token
     */
    /**
     * 生成JWT令牌
     * 
     * @param adminId 管理员ID,将被保存到令牌的载荷中
     * @param sign 用于生成令牌的签名密钥
     * @return 生成的JWT令牌字符串
     * 
     * 此方法使用JWT库创建一个带有特定载荷和过期时间的令牌,并使用指定的签名密钥进行签名
     * 载荷中包含管理员ID,用于标识令牌的受众
     * 令牌将在创建后2小时过期,过期时间从当前时间开始计算
     * 签名使用HMAC256算法,以确保令牌的安全性
     */
    public static String genToken(String adminId, String sign) {
        return JWT.create().withAudience(adminId) // 将 user id 保存到 token 里面,作为载荷
                .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期
                .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥
    }

    /**
     * 获取当前登录的用户信息
     * 通过解析请求中的token,查找对应的管理员信息
     * 如果无法获取token或解析失败,则返回null
     * 
     * @return 当前登录的管理员对象,如果获取失败则返回null
     */
    public static Admin getCurrentUser() {
        // 初始化token变量
        String token = null;
        try {
            // 从请求中获取token
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            token = request.getHeader("token");
            // 如果token为空,则尝试从请求参数中获取
            if (StrUtil.isBlank(token)) {
                token = request.getParameter("token");
            }
            // 如果token仍然为空,则记录错误日志并返回null
            if (StrUtil.isBlank(token)) {
                log.error("获取当前登录的token失败, token: {}", token);
                return null;
            }
            // 解析token,获取用户的id
            String adminId = JWT.decode(token).getAudience().get(0);
            // 根据用户id查找并返回管理员信息
            return staticAdminService.findByById(Integer.valueOf(adminId));
        } catch (Exception e) {
            // 如果出现异常,则记录错误日志并返回null
            log.error("获取当前登录的管理员信息失败, token={}", token,  e);
            return null;
        }
    }
}

用户在登录成功后,需要返回一个token给前台

// 生成jwt token给前端
String token = JwtTokenUtils.genToken(user.getId().toString(), user.getPassword());
user.setToken(token);

前台把token获取到,下次请求的时候,带到header里

const user = localStorage.getItem("user");
if (user) {
    config.headers['token'] = JSON.parse(user).token;
}

拦截器:JwtInterceptor.java

拦截器一般与jwt令牌联合使用

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.example.entity.Admin;
import com.example.exception.CustomException;
import com.example.service.AdminService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * JWT拦截器,用于拦截请求并验证JWT令牌
 */
@Component
public class JwtInterceptor implements HandlerInterceptor {

    // 日志记录器
    private static final Logger log = LoggerFactory.getLogger(JwtInterceptor.class);

    // 注入的管理员服务,用于查询管理员信息
    @Resource
    private AdminService adminService;

    /**
     * 在处理请求之前执行拦截操作
     * 
     * @param request  当前的HTTP请求对象
     * @param response 当前的HTTP响应对象
     * @param handler  当前处理请求的处理器
     * @return 如果返回false,请求将不会继续;如果返回true,请求将继续
     * @throws Exception 如果在预处理过程中发生异常
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 从HTTP请求的header中获取token
        String token = request.getHeader("token");
        if (StrUtil.isBlank(token)) {
            // 如果header中没有token,尝试从请求参数中获取
            token = request.getParameter("token");
        }
        // 开始执行认证
        if (StrUtil.isBlank(token)) {
            throw new CustomException("无token,请重新登录");
        }
        // 获取token中的userId
        String userId;
        Admin admin;
        try {
            userId = JWT.decode(token).getAudience().get(0);
            // 根据token中的userid查询数据库
            admin = adminService.findById(Integer.parseInt(userId));
        } catch (Exception e) {
            String errMsg = "token验证失败,请重新登录";
            log.error(errMsg + ", token=" + token, e);
            throw new CustomException(errMsg);
        }
        if (admin == null) {
            throw new CustomException("用户不存在,请重新登录");
        }
        try {
            // 使用用户密码加签验证token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(admin.getPassword())).build();
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new CustomException("token验证失败,请重新登录");
        }
        // 验证通过,继续执行下一个拦截器或目标处理器
        return true;
    }
}

拦截器配置好了,但是如何生效?在webConfig里添加拦截器规则:

import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.PathMatchConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
// 使用@Configuration注解标记该类为配置类,用于替代xml配置文件
public class WebConfig implements  WebMvcConfigurer {
    
    @Resource
    private JwtInterceptor jwtInterceptor;
    
    @Override
    // 实现configurePathMatch方法,用于配置路径匹配策略
    public void configurePathMatch(PathMatchConfigurer configurer) {
        // 指定controller统一的接口前缀
        // 通过addPathPrefix方法为所有带有RestController注解的控制器添加"/api"前缀
        configurer.addPathPrefix("/api", clazz -> clazz.isAnnotationPresent(RestController.class));
    }

    /**
     * 添加自定义拦截器JwtInterceptor
     * 设置拦截规则,用于对请求进行鉴权
     * 
     * @param registry 拦截器注册对象,用于向Spring MVC注册自定义拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册JwtInterceptor拦截器,并设置拦截路径为/api/**,即对所有/api下的请求进行拦截
        // 排除/api/admin/login和/api/admin/register路径,这些路径不需要鉴权即可访问
        registry.addInterceptor(jwtInterceptor).addPathPatterns("/api/**")
                .excludePathPatterns("/api/admin/login")
                .excludePathPatterns("/api/admin/register");
    }

}

跨越相关问题:

CorsConfig.java设置自定义头

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {

    /**
     * 创建并配置CorsFilter bean以支持跨域请求
     * 通过分析UrlBasedCorsConfigurationSource和CorsConfiguration的设置,
     * 可以允许所有来源的跨域请求,并对请求头和请求方法无限制
     *
     * @return 配置好的CorsFilter实例
     */
    /**
     * 该函数用于创建并配置一个CorsFilter Bean,以支持跨域请求。
     * 通过设置UrlBasedCorsConfigurationSource和CorsConfiguration,
     * 该函数允许所有来源的跨域请求,并且对请求头和请求方法没有限制。
     * 返回配置好的CorsFilter实例,将其注册到Spring上下文中,以便在处理请求时自动应用跨域配置。
     * @return
     */
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); // 允许所有来源的跨域请求
        corsConfiguration.addAllowedHeader("*"); // 允许所有请求头
        corsConfiguration.addAllowedMethod("*"); // 允许所有请求方法
        source.registerCorsConfiguration("/**", corsConfiguration); // 对所有路径下的请求应用跨域配置
        return new CorsFilter(source);
    }
}

念君思宁
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
分布式环境认证和授权-基于springboot+JWT+拦截器实现-实操+源码下载
雾林小妖的博客
12-12 1638
基于springbootboot工程+jwt+拦截器实现登录验证和授权
vue12Jwt详解+JWT组成+JWT的验证过程+JWT令牌刷新思路+代码
全栈
11-05 7258
签名是把header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。算法不同,签名结果不同。以alg: HS256为例来说明前面的签名如何来得到。按照前面alg可用值的说明,HS256其实包含的是两种算法:HMAC算法和SHA256算法,前者用于生成摘要,后者用于对摘要进行数字签名。这两个算法也可以用HMACSHA256来统称5. JWT的验证过程。
登录验证Jwt令牌,过滤器,拦截器
qx020814的博客
04-22 591
jwt令牌有三个部分,第一部分是令牌名,然后数据名,最后加密数据。前两个使用了64个字母代替加密,第三个用算法对前两个就行加密,只有jwt解密算法才能解。后端用一个拦截器,login放过,直接去验证登录,其他的路径就验证jwt令牌,没有或者不合法全部拦截下来,返回前端错误提示。登录成功后返回一个加密jwt前端保存到本地,每次使用add,del,sel时,将数据放在请求头中传到后端。如果客户没登陆的情况下访问非login页面,就会强行跳转到登录页面。拦截器:(拦截器会有一个跨域问题,得设置一下)
阿里云oss文件上传+springboot配置文件yml+登录校验jwt令牌+过滤器 拦截器+异常处理+spring事务管理
2202_75352238的博客
03-17 970
jwt令牌本质就是一个字符串, 当我们用户第一次访问服务器的时候,也就是开启会话的1时候,我们登录账号,登录成功之后会在服务器产生一个jwt令牌,响应给浏览器存储在cokie或者其他存储空间中,接下来在后续的每一次的每一次请求都需要把令牌带到服务端进行校验,如果令牌有效就说明用户已经登陆,令牌无效说明用户未登录,我们在多次请求中共享数据就可以把共享的数据存储在令牌当中就可以。在拦截器当中,我们通常也是做一些通用性的操作,比如:我们可以通过拦截器来拦截前端发起的请 求,将登录校验的逻辑全部编写在拦截器当中。
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(一)登录认证
郝南过的博客
12-25 2945
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。实际操作时经常需要实现XXXFilter来自定义的登录以及访问控制。什么是身份认证身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。
JWT令牌&&拦截器
weixin_64308540的博客
07-31 796
JWT令牌&&拦截器
vue+egg+jwt实现登录验证的示例代码
10-16
在HTTP请求层面,利用axios的拦截器功能,可以在发送请求之前和接收到响应之后执行代码。发送请求之前,可以检查cookie中的token是否存在,并将其加入到HTTP请求头的Authorization字段中。接收响应后,可以检查响应...
JWT令牌验证
尽力漂亮的博客
10-12 2301
JWT令牌验证1、jwt的由来及解决的问题2、jwt的细节处理 1、jwt的由来及解决的问题 2、jwt的细节处理 1、传统开发对资源的访问限制利用session完成图解 Map<String, Object> claims = new HashMap<String, Object>(); claims.put("uname",user.getUname());...
vue3.5新增特性
yunbabac的博客
09-05 431
vue3.5
Vue2 中对数组进行操作时需要注意什么
m0_73882020的博客
09-06 543
在 Vue 2 中,对数组进行操作时,关键是确保操作能够被 Vue 的响应式系统检测到。使用 Vue 的响应式 API,如Vue.set或this.$set,可以确保数组的变化会被正确地反映到视图中。此外,避免直接修改数组的length属性或使用数组索引直接赋值,以确保视图的响应性。
SprinBoot+Vue远程教育网站的设计与实现
赵广陆
09-10 812
目录1 项目介绍2 项目截图3 核心代码3.1 Controller3.2 Service3.3 Dao3.4 application.yml3.5 SpringbootApplication3.5 Vue4 数据库表设计5 文档参考6 计算机毕设选题推荐7 源码获取 1 项目介绍 博主个人介绍:CSDN认证博客专家,CSDN平台Java领域优质创作者,全网30w+粉丝,超300w访问量,专注于大学生项目实战开发、讲解和答疑辅导,对于专业性数据证明一切! 主要项目:javaweb、ssm、spring
Vue CLI:初学者指南与深入理解
最新发布
x15514104477的博客
09-10 565
本文为初学者提供了一个关于如何使用 Vue CLI 的指南,并帮助读者深入理解其核心概念。Vue CLI 是一个用于快速搭建 Vue.js 项目的命令行工具,适用于所有水平的开发者。
美术|基于java+vue的美术外包管理信息系统(源码+数据库+文档)
weixin_66413741的博客
09-10 596
游戏美术管理信息系统。该系统基于B/S即所谓浏览器/服务器模式,应用java技术,选择MySQL作为后台数据库。系统主要包括系统首页,个人中心,用户管理,公司管理,作品信息管理,作品订单管理,外包需求管理,外包应征管理,流程追踪管理,在线交流管理,在线回复管理,管理员管理,留言反馈,系统管理等功能模块。本文首先介绍了游戏美术外包管理信息技术发展背景与发展现状,然后遵循软件常规开发流程,首先针对系统选取适用的语言和开发平台,
开发适合el-dialog的拉伸拖拽自定义指令和适配自定义的图片查看组件
鹤渺的星球
09-05 1477
我之前有开发过一个图片查看的组件,这个组件可在单页面打开,也可以在弹窗里打开,但是弹窗因为是比较固定,所以有一些局限性,只能拖拽,不能改变弹窗大小,于是有了开发【可以拖拽改变大小的弹窗】组件。通过自定义指令,实现弹窗的移动拖拽拉伸等功能动态计算弹窗的位置与尺寸,因为弹窗的位置和尺寸是动态计算的,涉及到鼠标的实时位置和弹窗初始位置之间的关系。代码也贴上去了,仅供参考。
Chapter 11 脚手架Vue CLI使用步骤
2302_80253507的博客
09-06 712
Vue CLI 是 Vue.js 官方提供的一个全局命令工具,旨在帮助开发者快速创建和管理 Vue 项目。它为开发者提供了一个标准化的项目结构,并集成了 webpack 配置,使得开发过程更加高效和便利。
从`v-model`到显式绑定:掌控Vue组件中的数据流动20240910
Narutolxy的博客
09-10 353
v-model
el-popover弹框自定义位置
weixin_47218354的博客
09-05 370
【代码】el-popover弹框自定义位置。
前端】animation动画以及利用vue制作简单的透明度改变动画,包含vue生命周期实现
weixin_43872912的博客
09-07 584
页面动画
jwt+mysql+拦截器 实现限时登录
03-29
public class SearchArray { public static void main(String[] args) { int[] array = {1, 5, 3, 7, 9, 2}; int x = 9; int index = -1; // 遍历数组寻找x是否存在 for (int i = 0; i < array.length; i++) { if (array[i] == x) { index = i; break; } } // 判断是否找到x if (index != -1) { System.out.println("x存在于数组中,位置为:" + index); } else { System.out.println("x不存在于数组中"); } } }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

念君思宁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值