Springboot+Vue+JWT实现用户登录鉴权

于 2024-09-08 21:52:06 发布
阅读量493 收藏 10
点赞数 10
文章标签: 状态模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66106394/article/details/142033871
版权

登录相关功能的优化

  1. 登录后显示当前登录用户

el-dropdown: Element - The world's most popular Vue UI framework

<el-dropdown style="float: right; height: 60px; line-height: 60px">
<span class="el-dropdown-link" style="color: white; font-size: 16px">{{ user.name }}<i class="el-icon-arrow-down el-icon--right"></i></span>
<el-dropdown-menu slot="dropdown">
<el-dropdown-item>
<div @click="logout">退出登录</div>
</el-dropdown-item>
</el-dropdown-menu>
</el-dropdown>
  1. 登录成功后,将登录的用户信息存储到前端的localStorage里

localStorage.setItem("user", JSON.stringify(res.data));

  1. 登录成功后,从localStorage里获取当前的登录用户
data () {
    return {
        user: localStorage.getItem("user") ? JSON.parse(localStorage.getItem("user")) : {},
    }
},
  1. 退出登录后,清localStorage,跳到登录页
methods: {
    logout() {
        localStorage.removeItem("user");
        this.$router.push("/login");
    }
}

这样安全吗??
肯定不安全,用户可以跳过登录,直接在浏览器上输入后台的路由地址,即可直接进入系统,访问敏感数据。

前端路由守卫

在路由配置文件index.js里,配上路由守卫

// 路由守卫
router.beforeEach((to ,from, next) => {
    if (to.path ==='/login') {
        next();
    }
    const user = localStorage.getItem("user");
    if (!user && to.path !== '/login') {
        return next("/login");
    }
    next();
})

这样就安全了吗??
还是不安全,因为前端的数据是不安全的,是可以认为篡改的!就是说,鉴权放在前端,是不安全的。我们的登录鉴权肯定是要放在服务端来完成。

使用jwt在后端进行鉴权

在用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。

  1. pom.xml
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.3.7</version>
</dependency>
  1. 给后台接口加上统一的前缀/api,然后我们统一拦截该前缀开头的接口,所以配置一个拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.config.annotation.PathMatchConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements  WebMvcConfigurer {
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        // 指定controller统一的接口前缀
        configurer.addPathPrefix("/api", clazz -> clazz.isAnnotationPresent(RestController.class));
    }
}

request封装里面,baseUrl也需要加个 /api 前缀

  1. Jwt配置

JwtTokenUtils.java
jwt的规则

import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.example.entity.Admin;
import com.example.service.AdminService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

@Component
public class JwtTokenUtils {

    private static AdminService staticAdminService;
    private static final Logger log = LoggerFactory.getLogger(JwtTokenUtils.class);

    @Resource
    private AdminService adminService;

    @PostConstruct
    public void setUserService() {
        staticAdminService = adminService;
    }

    /**
     * 生成token
     */
    public static String genToken(String adminId, String sign) {
        return JWT.create().withAudience(adminId) // 将 user id 保存到 token 里面,作为载荷
        .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期
        .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥
    }

    /**
     * 获取当前登录的用户信息
     */
    public static Admin getCurrentUser() {
        String token = null;
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            token = request.getHeader("token");
            if (StrUtil.isBlank(token)) {
                token = request.getParameter("token");
            }
            if (StrUtil.isBlank(token)) {
                log.error("获取当前登录的token失败, token: {}", token);
                return null;
            }
            // 解析token,获取用户的id
            String adminId = JWT.decode(token).getAudience().get(0);
            return staticAdminService.findByById(Integer.valueOf(adminId));
        } catch (Exception e) {
            log.error("获取当前登录的管理员信息失败, token={}", token,  e);
            return null;
        }
    }
}

用户在登录成功后,需要返回一个token给前台

// 生成jwt token给前端
String token = JwtTokenUtils.genToken(user.getId().toString(), user.getPassword());
user.setToken(token);

前台把token获取到,下次请求的时候,带到header里

const user = localStorage.getItem("user");
if (user) {
  config.headers['token'] = JSON.parse(user).token;
}
  1. 拦截器:JwtInterceptor.java
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.example.entity.Admin;
import com.example.exception.CustomException;
import com.example.service.AdminService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * jwt拦截器
 */
@Component
  public class JwtInterceptor implements HandlerInterceptor {

  private static final Logger log = LoggerFactory.getLogger(JwtInterceptor.class);

  @Resource
    private AdminService adminService;

  @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
    // 1. 从http请求的header中获取token
    String token = request.getHeader("token");
    if (StrUtil.isBlank(token)) {
      // 如果没拿到,我再去参数里面拿一波试试  /api/admin?token=xxxxx
      token = request.getParameter("token");
    }
    // 2. 开始执行认证
    if (StrUtil.isBlank(token)) {
      throw new CustomException("无token,请重新登录");
    }
    // 获取 token 中的userId
    String userId;
    Admin admin;
    try {
      userId = JWT.decode(token).getAudience().get(0);
      // 根据token中的userid查询数据库
      admin = adminService.findById(Integer.parseInt(userId));
    } catch (Exception e) {
      String errMsg = "token验证失败,请重新登录";
      log.error(errMsg + ", token=" + token, e);
      throw new CustomException(errMsg);
    }
    if (admin == null) {
      throw new CustomException("用户不存在,请重新登录");
    }
    try {
      // 用户密码加签验证 token
      JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(admin.getPassword())).build();
      jwtVerifier.verify(token); // 验证token
    } catch (JWTVerificationException e) {
      throw new CustomException("token验证失败,请重新登录");
    }
    return true;
  }
}

如何生效?在webConfig里添加拦截器规则:

@Resource
private JwtInterceptor jwtInterceptor;

// 加自定义拦截器JwtInterceptor,设置拦截规则
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(jwtInterceptor).addPathPatterns("/api/**")
.excludePathPatterns("/api/admin/login")
.excludePathPatterns("/api/admin/register");
}
  1. CorsConfig.java

设置自定义头

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); // 1 设置访问源地址
        corsConfiguration.addAllowedHeader("*"); // 2 设置访问源请求头
        corsConfiguration.addAllowedMethod("*"); // 3 设置访问源请求方法
        source.registerCorsConfiguration("/**", corsConfiguration); // 4 对接口配置跨域设置
        return new CorsFilter(source);
    }
}

等雨停、
关注
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
spring boot + jwt+ vue 快速实现登录认证
tonysong111073的专栏
09-08 593
演示前后台分离的jwt用户认证
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1479
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
SpringBoot+Vue+SpringSecurity+JWT实现登录
weixin_43203735的博客
05-18 1738
前后端代码:GitHub地址 Vue-Cli创建前端项目 前端项目目录结构 我们需要Login.vue和Home.vue组件,一个用于登录,一个用于登录成功之后的跳转。 我们需要封装一些函数,这些函数用于在前后端交互时请求与响应的拦截。定义api.js 我们还需要删除原有的组件,清除App.vue的内容(不能删除)。 引入Element-ui 参考element-ui官网 在main.js文件中引入Element-ui import ElementUI from 'element-ui'; import
JWT鉴权
liu4461431的博客
05-25 4558
JWT鉴权知识点总结
JWT鉴权-JWT原理
weixin_47906106的博客
07-24 1246
先抛开JWT,回顾一下我们传统的网页,是通过Cookie的方式实现鉴权的,在用户登陆完成后,返回能识别该用户的信息到浏览器的Cookie中,下一次浏览器请求相同域名的时候,会自动把上次从服务器获取的Cookie提交上去,从而实现用户鉴权。关于flask-jwt-extended的讲解就在这里,学会这些,您在前后端分离项目中的鉴权,将没有任何问题。当然,也可以把jwt设置到cookie中,Body中,甚至是请求URL的参数中,但设置在请求头中实际上是最方便的,只要在请求方法中封装好,调用起来非常方便。
使用jwt在后端进行鉴权
qq_53483403的博客
01-03 501
用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。
JWT实现鉴权
柠檬树
03-10 8880
一、前言 JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。 头信息(Header)指定了该JWT使用的签名算法: header = '{"alg":"HS256","typ":"...
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 785
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现状态鉴权机制
10-17
在这个项目中,用户登录信息和权限设置会被存储在MySQL中。当用户尝试登录时,Shiro会查询数据库来验证用户名和密码。此外,用户的权限信息也会存储在数据库中,供Shiro和JWT使用。 **Redis与Jedis** Redis是一个高...
基于SpringBoot+Vue实现的企业级微服务多租户多系统架构(部署完成标准企业级WEB后台、可二次开发)
12-19
真正实现了手撸RBAC、jwt的无状态统一权限认证的解决方案,面向互联网设计同时适合B端和C端用户,支持CI/CD多环境部署;同时还集合各种微服务治理功能和监控功能。模块包括:企业级的认证系统、开发平台、应用监控、...
基于SpringBoot+Vue的物业管理系统后端设计源码
最新发布
10-04
该项目是采用SpringBoot框架与Vue前端技术构建的物业管理系统后端...通过集成Spring Security和JWT进行用户鉴权与认证,利用MyBatis-Plus简化MySQL数据库操作,并通过Swagger2维护接口文档,确保系统的高效与易用性。
基于springboot+vue的MOBA类游戏攻略分享平台.zip
03-21
在本项目中,Vue.js用于构建用户界面,展示攻略、评论、用户信息等,并实现动态加载和交互功能。 微信小程序是腾讯推出的一种轻应用开发平台,主要面向移动设备。虽然标签中提及,但具体是否在这个项目中使用未明确...
jwt(token令牌管理机制)
weixin_52361952的博客
08-02 521
jwt(token令牌管理机制)
使用JWT生成Token进行接口鉴权实现方法
penriver的博客
09-24 2510
利用JWT进行鉴权的思路 用户发起登录请求。 服务器使用私钥创建一个jwt字符串,作为token; 服务器将这个token返回给浏览器; 在后续请求中,token作为请求头的内容,发给服务端。 服务端拿到token之后进行解密,正确解密表示此次请求合法,验证通过;解密失败说明Token无效或者已过期 返回响应的资源给浏览器 JWT介绍 什么是JWT JSON Web令牌(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在通信双方之间安全地传输信息。由于该
前后端交互 -- jwt 鉴权
CSDN_GMC的博客
04-15 980
jwt 鉴权一. jwt 鉴权基本概念四个核心点: 1.签发 2.token存取 3.头部携带 4.验证头部二. 签发 生成token2.1. 使用 jsonwebtoken 模块2.2. jwt.sign({ } , " " ,{ } )中的三个参数三. token 的组成、存储与获取3.1. token的组成3.2. 存储token3.3. 获取token四. 请求token头部携带,前端的认...
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2577
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
SpringCloud Gateway基于jwt实现用户鉴权+GatewayFilter自定义拦截器
Eddie'Blog
02-05 1231
文章目录简介Gateway VS Zuul性能综合对比项目相关项目版本项目结构auth-service-api(接口层)auth-servicegateway-sample请求测试限流与异常处理 简介 SpringCloud Gateway 是 Spring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。 SpringCloud Gatew
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值