前后端分离的登录

最新推荐文章于 2024-07-28 16:55:17 发布
最新推荐文章于 2024-07-28 16:55:17 发布
阅读量3.2k 收藏 15
点赞数 2
分类专栏: Vue高级 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk3510/article/details/128006441
版权

          

目录

          

        一、跨域认证的问题

​编辑 

        1.2 什么是JWT

        1.3 JWT原理

        1.4 JWT结构

        1.4.1 Header

        1.4.2  Payload

        1.4.3  Signature

        1.5 使用JWT---JAVA

               1.5.1 引入依赖

                1.5.2 封装一个JWT工具类  

        二、完成前后端分离的登录功能

        2.1 前端代码

        2.2 配置拦截器axios

        2.3 后台拦截器

        一、跨域认证的问题

        互联网服务离不开用户认证。一般流程是下面这样。

        

        1、用户向服务器发送用户名和密码。

        2、服务器验证通过后,在当前会话(session)里面保存相关数据,比如用户角色、登录时间等等。

        3、服务器向用户返回一个 session_id,写入用户的 Cookie。

        4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

        5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

 

        这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。

举例来说,A 网站和 B 网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?

一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败。

另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。

 

        1.2 什么是JWT

        JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证. --JWT可以帮你生成一串字符串令牌。

        1.3 JWT原理

        JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。

        {
          "姓名": "张三",
          "角色": "管理员",
          "到期时间": "2021年7月1日0点0分"
     }

        

        以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名.

        服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

        1.4 JWT结构

                实际的 JWT 大概就像下面这样。

 

        它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。

        

        JWT 的三个部分依次如下。

        1.Header(头部) 数据格式是固定
        2.Payload(载荷) 包含用户信息以及过期时间等---信息
        3.Signature(签名)加密

        写成一行,就是下面的样子。

        Header.Payload.Signature

 

        下面依次介绍这三个部分。  

        1.4.1 Header

        Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

        

{
  "alg": "HS256",
  "typ": "JWT"
}

        上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT

        最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。

        1.4.2  Payload

                Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

        - iss (issuer):签发人
        - exp (expiration time):过期时间
        - sub (subject):主题
        - aud (audience):受众
        - nbf (Not Before):生效时间
        - iat (Issued At):签发时间
        - jti (JWT ID):编号

                除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。  

        

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

        注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

        这个 JSON 对象也要使用 Base64URL 算法转成字符串。

        1.4.3  Signature

        Signature 部分是对前两部分的签名,防止数据篡改

        首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

        

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

        算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

        1.5 使用JWT---JAVA

               1.5.1 引入依赖


<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.11.0</version>
        </dependency>

                1.5.2 封装一个JWT工具类  

package com.aaa.qy158springboot02.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;


public class JwtUtil {
    private static final String SIGN="aaa"; //密钥
    //1.通过jwt生成token字符串。
    public static String createToken(Map<String,Object> params){

        Map<String,Object> head=new HashMap<>();
        head.put("alg","HS256");
        head.put("typ","JWT");

        //定义颁发时间
        Date iss=new Date();
        //过期时间
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.MINUTE,30);
        Date expire = nowTime.getTime();

        String token = JWT.create()
                //指定头信息
                .withHeader(head)
                //载荷种的过期时间
                .withExpiresAt(expire)
                //颁发时间
                .withIssuedAt(iss)
                //颁发人
                .withIssuer("yankeqi")
                //自定义的载荷内容
                .withClaim("userInfo",params)
                //签名
                .sign(Algorithm.HMAC256(SIGN));

        return token;
    }

    //2. 判断token是否合法
    public static boolean verifyToken(String token){
        JWTVerifier build = JWT.require(Algorithm.HMAC256(SIGN)).build();
        try {
            DecodedJWT verify = build.verify(token);
            return true;
        }catch (Exception e){
            e.printStackTrace();
            return false;
        }
    }

    //3. 解析token种的内容
    public static Map<String,Object> decodeJWT(String token){
        Map<String, Object> userInfo = JWT.decode(token).getClaim("userInfo").asMap();
        return userInfo;
    }


    public static void main(String[] args) {
        HashMap<String, Object> map = new HashMap<>();
        map.put("name","汪鹏");
        map.put("id",1);
        map.put("age",19);
        String token = createToken(map);
        System.out.println(token);

        Map<String, Object> map2
                = decodeJWT(token);
        System.out.println(map2);

//       boolean is=verifyToken("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySW5mbmPIiwiaWQiOjEsImFnZSI6MTl9LCJpc3MiOiJ5YW5rZXFpIiwiZXhwIjoxNjY5MTcwODA3LCJpYXQiOjE2NjkxNjkwMDd9.3BZh1ylEosSBfn2n3Y6xMKv8Ut9pyxm37Y0-JinJdB0");
//        System.out.println(is);
    }
}

        二、完成前后端分离的登录功能

        

        2.1 前端代码

<template>
    <div id="login">
        <div id="loginBox">
            <el-form :model="loginForm" status-icon :rules="loginRules" ref="ruleForm" label-width="100px" class="demo-ruleForm">

                <el-form-item label="账号" prop="name">
                    <el-input type="text" v-model="loginForm.name" autocomplete="off"></el-input>
                </el-form-item>

                <el-form-item label="密码" prop="age">
                    <el-input type="text" v-model="loginForm.age" autocomplete="off"></el-input>
                </el-form-item>

                <el-form-item>
                    <el-button type="primary" @click="login()">提交</el-button>
                    <el-button>重置</el-button>
                </el-form-item>
            </el-form>
        </div>
    </div>
</template>

<script>
    export default {
        name: "Login.vue",
        data(){
            return{
                loginForm:{name:"",age:""},
                //校验
                loginRules:{
                    name:[{ required: true, message: '请输入账号', trigger: 'blur' },],
                    age:[{ required: true, message: '请输入密码', trigger: 'blur' },]
                }
            }
        },
        methods:{
            login(){
                this.$http.post("http://localhost:8000/login",this.loginForm).then(resp=>{
                    console.log(resp.data.code)
                    if (resp.data.code===2000){

                        //登录成功 获取服务器相应的token值,保存到localStorage
                        localStorage.setItem("token",resp.data.data);
                        //路由跳转  不能使用  location.href
                        this.$router.push("/student")
                    }else {
                        this.$message.error("登陆失败,账号密码错误");
                    }
                })
            }
        }
    }
</script>

<style>

    #loginBox{
        width: 500px;
        height: 290PX;
        margin: 100px auto;
    }
    #loginForm{
        margin:50px auto;

    }
</style>

        2.2 配置拦截器axios

//设置axios请求的拦截器
axios.interceptors.request.use(config=>{
  //从localStorage获取令牌信息
  var token = localStorage.getItem("token");
  //判断是否获取token 只要token有值 则返回true
  if (token){
    //把token信息放入请求头中
    config.headers.token=token;
  }
  return config;
})

        2.3 后台拦截器

package com.aaa.qy158springboot02.interceptor;

import com.aaa.qy158springboot02.util.JwtUtil;
import com.aaa.qy158springboot02.vo.Result;
import com.alibaba.fastjson.JSON;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;


public class MyInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        response.setContentType("application/json;charset=utf-8");
         //1.获取请求头种的token
        String token = request.getHeader("token");
        //2.判断token是否为null
        if(StringUtils.hasText(token)){
             //校验token是否合法
             if(JwtUtil.verifyToken(token)){
                  return true;
             }
        }
        PrintWriter writer = response.getWriter();
        Result result=new Result(4001,"未登录");
        String jsonString = JSON.toJSONString(result);
        writer.print(jsonString);
        writer.flush();
        writer.close();
        return false;
    }
}
一条要上岸的鱼
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
前后端分离开发登录
m0_62404386的博客
08-09 995
前后端分离开发登录
前后端分离登录
m0_51279688的博客
11-16 3955
1.http无协议 因为HTTP是无状态的协议,也就是说,这个协议是无法记录用户访问状态的,其每次请求都是独立的无关联的,一笔是一笔。而我们的网站都是设计成多个页面的,所在页面跳转过程中我们需要知道用户的状态,尤其是用户登录的状态,这样我们在页面跳转后我们才知道是否可以让用户有权限来操作一些功能或是查看一些数据。 所以,我们每个页面都需要对用户的身份进行认证。为了实现这一功能,用得最多的技术就是浏览器的cookie,我们会把用户登录的信息存放在客户端的cookie里,这样,我们每个页面都从这个cookie里
vue前后端分离单点登录,结合长token和短token进行登录
前端开发工程师
09-14 8230
在公司发展初期,公司拥有的系统不多,通常一个两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登陆,很方便,但是,随着企业的发展,用到的系统随之增加,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说很不方便,也是就想到是不是可以在一个系统登陆,其它系统就不用登陆了呢?那么单点登录就是解决这个问题。
前后台分离登录认证
最新发布
Supreme13的博客
07-28 853
思路分析自定义登录接口调用ProviderManager的authenticate()方法进行认证,如果认证通过,则生成JWT把用户信息存入redis中自定义UserDetailsService接口实现类我们在这个实现类查询数据库定义JWT认证过滤器获取token解析token获取其中的uuid从redis中获取用户信息存入SecurityContextHolder。
jwt的基本使用
繁华落烬命入戏
12-22 508
文章目录介绍用途解决跨域访问的问题原理JWT 的数据结构JWT基本使用 介绍 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点是无法作废已颁布的令牌/不易应对数据过期。 用途 解决跨...
登录功能的实现---(前后端分离)
qq_56797899的博客
06-19 2336
通过前端发送请求将账号密码发送到后端,后端验证成功进行登录
前后端分离下如何登录
weixin_34273479的博客
08-19 522
1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断该用户是否有权限继续这个请求。这个过程...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
laravel5.8 前后端分离 api注册登录请求
01-02
在本文中,我们将深入探讨如何在Laravel 5.8框架中实现前后端分离,并创建基于API的注册和登录功能,利用`api_token`作为安全验证手段。 首先,`Laravel 5.8`是一个强大的PHP框架,它提供了丰富的工具和功能来快速...
前后端分离的注册登录模板
06-01
【标题】:“前后端分离的注册登录模板”指的是在Web应用开发中,将前端界面与后端业务逻辑分离开来,实现各自独立开发和维护的一种架构模式。这种模式下,前端负责用户交互和界面展示,而后端则专注于数据处理和...
SpringSecurity前后端分离登录认证
m0_67401153的博客
09-08 942
新增接口:@Autowiredreturn new Result(200,"登陆成功",loginService.login(user));}}@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证}配置redis:spring:redis:port: 6379认证逻辑:将注入到容器中@Bean@Override}
meven+ssm+shiro实现前后端分离登录小案例
11-06
这个是这几天写入门写的一个 meven+ssm+shiro 的一个简单案例 ,只是简单的实现了简单注册登录 但是里面涉及到了一些加密的东西 供大家参考学习 开发工具用的是idea eclipse不怎么用过 我不确保能不能配上去运行. 项目里面我把里面的东西都分类打包好并配了说明文档,由于水平有限,并不能很好在这里说明 有需要的就下载看下吧.有问题的 欢迎大家指点.成长的路上很枯燥.如果有大神看到了,指点一下吧 哈哈!!!
前后端分离项目实现登录登录
lxk116688的博客
05-09 5897
现在大部分的项目都是前后端分离项目,在前后端分离项目中的身份验证我们经常采用JWT认证。关于JWT认证的详细内容,请移步上一篇博客。 最近做的项目恰好用到了JWT的身份验证,今天拿出来说一下: login.vue <template> <input type="text" v-model="loginForm.username" placeholder="用户名"/> <input type="text" v-model="loginForm.password" pla
前后端分离-登录
m0_70015578的博客
05-25 214
后端 # 登录 import re class LoginView(APIView): def post(self, request): name = request.data.get('name') pwd = request.data.get('pwd') # 判断账号是不是手机号 ser = r'^1[3-9][0-9]{9}$' if re.findall(ser,name):
前后端分离项目之登录页面(前后端请求、响应和连接数据库)
weixin_63541561的博客
06-03 3150
目录一、前端登录发起请求二、后端请求接收三、连接数据库四、后端响应五、前端处理六、在前端验证用户是否登录七、web会话跟踪八、请求拦截器和响应拦截器. web会话跟踪:http是无状态的,登录完成后客户端与服务器断开了连接,之后再向后端发送请求,后端就不知道是哪个客户端发送的。
搭建spring-boot+vue前后端分离框架并实现登录功能
2401_84091321的博客
05-09 610
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
前后端分离登录逻辑实现方案
qq_55272229的博客
12-12 3149
我之前做前后端分离的项目的时候在想,第一次登录一个网站过后后续登录就可以直接访问太神奇了,后来熟练了发现是后端的过滤器和拦截器实现的, 最近在跟着视频组做项目时候我发现自己有点忘记了前端是怎么配合后端完成的,本文带5分钟过一遍登录状态的校验。
前后端分离登录功能实现的思路
weixin_38673922的博客
03-25 763
思路: 首次登录时,后端服务器判断用户账号密码正确之后,根据用户id、用户名、定义好的秘钥、过期时间生成 token ,返回给前端; 前端拿到后端返回的 token ,存储在 localStroage 和 Vuex 里; 前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页,有则请求获取用户信息,改变登录状态; 每次请求接口,在 Axios 请求头里携带 token; 后端接口判断请求头有无 token,没有或者 token 过期,返回401; 前端得到 40
springboot-vue
hzk_niubi1313的博客
08-09 399
每次请求都得要人为添加参数token. 我们可以使用axios得请求拦截器。当使用异步请求从一个网址访问另一个网址时可能会出现跨域问题。allowedHeaders:允许哪些请求头信息跨域。origins: 允许哪些域可以跨域访问我这个接口。methods: 允许哪些请求方式跨域。前端调用后端登录接口时出现如下的错误。后面每次请求都可以携带该token,后面每次请求都可以携带该token。(2)添加配置类,全局配置。增加redis的序列化配置。加入swagger配置类。加入swagger依赖。.......
springboot vue前后端分离登录
06-28
SpringBoot和Vue前后端分离登录实现步骤如下: 1. 前端Vue项目中,使用axios发送登录请求,将用户名和密码发送到后端SpringBoot项目中。 2. 后端SpringBoot项目中,接收到登录请求后,验证用户名和密码是否正确...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值