security

最新推荐文章于 2024-07-25 09:37:37 发布
最新推荐文章于 2024-07-25 09:37:37 发布
阅读量245 收藏
点赞数 8
文章标签: vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wql56789/article/details/134332398
版权

前后端分离

一.创建前端页面

1.根据模版创建vue项目

2.配置vue

安装axios

安装element ui

安装 qs

配置main.js

import ElementUI from 'element-ui';
import 'element-ui/lib/theme-chalk/index.css';




Vue.use(ElementUI);
import axios from 'axios'
// 后端项目的时候  http://localhost:8848
// axios设置一个默认的路径 
 // 创建实例时配置默认值
 const instance = axios.create({
  // 访问路径的时候假的一个基础的路径
   baseURL: 'http://localhost:8848/'
 });
 // 起一个名字注册到vue 里面
 // Vue. prototype.名字 = axios
 
 Vue.prototype.$axios = instance;
 
 //响应拦截器
 instance.interceptors.response.use( response=> {
   // 状态码  500
   if(response.data.code==500){
        // 跳转到 login 组件里面
   // router.push({path:"/login"});
    
    return;
   }
 // 数据 直接返回给axios
      return response.data.t;
    }, error=> {
      // 超出 2xx 范围的状态码都会触发该函数。
      // 对响应错误做点什么
      return Promise.reject(error);
    });
 
 
  // 请求拦截器
  instance.interceptors.request.use( config=> {
    // config 前端  访问后端的时候  参数
 
    //config.headers['Authorization']="yyl"
      return config;
    }, error=> {
      // 超出 2xx 范围的状态码都会触发该函数。
      // 对响应错误做点什么
      return Promise.reject(error);
    });

3.创建页面

登录页面

<template>
<div class="login-container">
<el-form :model="ruleForm" status-icon :rules="rules" ref="ruleForm" label-width="100px" class="login-form">
<el-form-item label="用户名" prop="username">
<el-input type="text" v-model="ruleForm.username" autocomplete="off"></el-input>
</el-form-item>
<el-form-item label="确认密码" prop="password">
<el-input type="password" v-model="ruleForm.password" autocomplete="off"></el-input>
</el-form-item>
<el-form-item>
<el-button type="primary" @click="submitForm('ruleForm')">提交</el-button>
<el-button @click="resetForm('ruleForm')">重置</el-button>
</el-form-item>
</el-form>
</div>
</template>
<script>
export default {
data() {
var checkName = (rule, value, callback) => {
if (!value) {
return callback(new Error('名字不能为空'));
}else{
callback();
}
};
var validatePass = (rule, value, callback) => {
if (value === '') {
callback(new Error('请输入密码'));
} else {
callback();
}
};
return {
ruleForm: {
username: '',
password: '',
},
rules: {
password: [
{ validator: validatePass, trigger: 'blur' }
],
username: [
{ validator: checkName, trigger: 'blur' }
]
}
};
},
methods: {
submitForm(formName) {
this.$refs[formName].validate((valid) => {
if (valid) {
//alert('submit!');
this.$axios.post(`userlogin?uname=${this.ruleForm.username}&&pwd=${this.ruleForm.password}`)
.then((d)=>{
sessionStorage.setItem("token",d.data.t[0]);
sessionStorage.setItem("user",d.data.t[1]);
this.$router.push("/main")
});
} else {
// console.log('error submit!!');
return false;
}
});
},
resetForm(formName) {
this.$refs[formName].resetFields();
}
}
}
</script>
<style scoped>
.login-form {
width: 350px;
margin: 160px auto; /* 上下间距160px,左右自动居中*/
background-color: rgb(255, 255, 255,0.8); /* 透明背景色 */
padding: 30px;
border-radius: 20px; /* 圆角 */
}
/* 背景 */
.login-container {
position: absolute;
width: 100%;
height: 100%;
background: url("../assets/timg.png");
}
/* 标题 */
.login-title {
color: #303133;
text-align: center;
}
</style>

4.设置路由

引入qs

启动

npm run serve

访问页面

二.前端与后端Security结合

1.认证

登录认证成功

失败

2.登录跳转页面

1)创建main页面 配置路由

2)建立连接

登录访问

3.权限不允许

三.jwt

1.概念

什么是jwt

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

官网: JSON Web Token Introduction - jwt.io

jwt的结构

jwt是用来生成凭证信息的 分为三部分 Header Payload Signature

Header

Header 部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。

{

"alg": "HS256",

"typ": "JWT"

}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256 (写成 HS256) ;typ属性表示这个令牌(token)的类型(type), JWT令牌统一写为JWT。

最后,将上面的JSON对象使用Base64URL算法转成字符串。

Payload(载荷)

Payload 部分也是一个JSON对象,==用来存放实际需要传递的数据==。JWT规定了7个官方字段,供选用。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (lssued At):签发时间

jti (JWT ID):编号

除了官方字段,==你还可以在这个部分定义私有字段==,下面就是一个例子。

{

"sub": "1234567890",

"name" : "John Doe",

“userid”:2

"admin": true

}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把==秘密信息==放在这个部分。这个JSON 对象也要使用Base64URL 算法转成字符串。

Signature

Signature部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个==密钥(secret)==。这个密钥只有==服务器才知道==,不能泄露给用户。然后,使用Header里面指定的==签名算法(默认是 HMAC SHA256)==,按照下面的公式产生签名。

HMACSHA256(

base64UrlEncode(header) + ".”"+base64UrlEncode(payload),

secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

2.使用jwt生成token

1)添加依赖

   <dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.8.16</version>
</dependency>

2)修改配置文件

登陆成功

获取token 解码

第一部分和第二部分 并能没有加密  使用的是base64编码格式 通过网站 进行反编码就可以得出原来的数据

Base64 在线编码解码 | Base64 加密解密 - Base64.us

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

.eyJyZXNvdXJjZXMiOlsiUk9MRV9VU0VSIiwiU1oiLCJTWjIzIl0sInVzZXJuYW1lIjoienMifQ

.a4sbhLePMnH0AuYZz_OIOZPzxVosOe1u9hpv8ZHD87E

3.设置签发时间

获取token后解码

4.前端接收保存token

1)修改main.js

保存

5.解析token

1)创建解析文件

package com.example.filter;
import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import com.example.util.Result;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.commons.lang3.ArrayUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.List;
import java.util.stream.Collectors;
@Component
public class JwtFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 解析token
        /**
         * 1. 获取token
         *    有   解析
         *    没有  返回一个json(401,“”,null) 没有认证
         * 2. 有
         *    2.1  校验token  真的还是假的
         *         真
         *           2.1.1 过
         *           2.1.2 用户的信息 存放到安全框架的上下文的路径里面
         *
         *         假  返回一个json数据  没有认证
         */
        String[] whitename = {"/userlogin"};
        String token = request.getHeader("token");
        // token 不为空
        if(StringUtils.isNotBlank(token)){
            // 有   解析
            //
            boolean verify = JWTUtil.verify(token, "aaaaa".getBytes());
            if(verify){
                // 校验合格
                // 获取  用户名字   和密码的信息
                // token 的payload
                //                    map.put("username",authentication.getName());  // 认证成功之后  用户的名字
                //
                //                    map.put("resources",allresoures);
                JWT jwt = JWTUtil.parseToken(token);
                String username = (String) jwt.getPayload("username");
                List<String> resources = (List<String>) jwt.getPayload("resources");
                // 资源的信息
                List<SimpleGrantedAuthority> collect = resources.stream().map(s->new SimpleGrantedAuthority(s)).collect(Collectors.toList());
                //保存用户的信息
                UsernamePasswordAuthenticationToken usertoken = new UsernamePasswordAuthenticationToken(username, null, collect);
                // 存起来用户的信息
                SecurityContextHolder.getContext().setAuthentication(usertoken);
                // 放行
                filterChain.doFilter(request,response);
            }else{
                // 不合格
                Result result = new Result(401,"没有登录",null);
                printJsonData(response,result);
            }


        }else{
            // 查看是不是在白名单中   如果在  就放行  不在
            String requestURI = request.getRequestURI();
            if(ArrayUtils.contains(whitename,requestURI)){
                filterChain.doFilter(request,response);
            }else {
                // 为空
                Result result = new Result(401, "没有登录", null);
                printJsonData(response, result);
            }
        }


    }
    public void printJsonData(HttpServletResponse response,Result result) {
        try {
            response.setContentType("application/json;charset=utf8");  // json格式   编码是中文
            ObjectMapper objectMapper = new ObjectMapper();
            String s = objectMapper.writeValueAsString(result);// 使用ObjectMapper将result转化json为字符串
            PrintWriter writer = response.getWriter();
            writer.print(s);
            writer.flush();
            writer.close();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

访问页面

SecurityConfiguration文件

package com.example.config;
import cn.hutool.jwt.JWTPayload;
import cn.hutool.jwt.JWTUtil;
import com.example.util.Result;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.util.*;
import java.util.stream.Collectors;
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置 登录form 表单
        //  路径的前面 必须加/
        http.formLogin()
               // .loginPage("/login.html") // 登录的页面  localhost:8080/login.html
                .loginProcessingUrl("/userlogin")
                .successHandler((request, response, authentication) -> {
                    System.out.println("********"+authentication);
                    //资源
                    Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
                    List<String> allresoures = authorities.stream().map(s->s.getAuthority()).collect(Collectors.toList());
                    System.out.println(allresoures);


                    //认证成功    生成token
                    Map map = new HashMap<>();
                    map.put("username",authentication.getName());
                    map.put("resources",allresoures);
                    //设置token签发时间
                    Calendar instance = Calendar.getInstance();//获取当前时间
                    Date time = instance.getTime();
                    //设置过期时间   2小时后过期
                    instance.add(Calendar.HOUR,2);
                    Date time1 = instance.getTime();
                    map.put(JWTPayload.EXPIRES_AT,time1);
                    map.put(JWTPayload.ISSUED_AT,time);
                    map.put(JWTPayload.NOT_BEFORE,time);
                    String token = JWTUtil.createToken(map, "aaaaa".getBytes());
                    System.out.println(token);


                    Result result = new Result(200,"登录成功",token);
                    printJsonData(response,result);
                })
                .failureHandler((request, response, exception) -> {
                    // 认证失败
                    Result result = new Result(500,"登录失败",null);
                    printJsonData(response,result);
                })
         ;
        http.authorizeRequests().antMatchers("/userlogin","/").permitAll();// 代表放行 "/login.html","/userlogin","/"
//        http.authorizeRequests().antMatchers("/test").hasRole("ADMIN");
        http.authorizeRequests().anyRequest().authenticated();


        // 权限不允许的时候
        http.exceptionHandling().accessDeniedHandler((request, response, accessDeniedException) -> {
            Result result = new Result(403,"权限不允许",null);
            printJsonData(response,result);
        });
        //  csrf  方便html 文件  能够通过
        http.csrf().disable();
        http.cors();//跨域
    }


    @Resource
    private UserDetailsService userDetailsService;
    @Bean
    public PasswordEncoder getPassword(){
        return new BCryptPasswordEncoder();
    }
    // 自定义用户的信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(getPassword());
    }
    public void printJsonData(HttpServletResponse response, Result result) {
        try {
            response.setContentType("application/json;charset=utf8");  // json格式   编码是中文
            ObjectMapper objectMapper = new ObjectMapper();
            String s = objectMapper.writeValueAsString(result);// 使用ObjectMapper将result转化json为字符串
            PrintWriter writer = response.getWriter();
            writer.print(s);
            writer.flush();
            writer.close();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}
小Q学代码
关注
  • 8
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security 6.x 系列(2)—— 基于过滤器的基础原理(一)
热门推荐
gmHappy
10-31 2万+
`Spring Security` 的 `Servlet` 支持基于 `Servlet` 过滤器,因此首先了解过滤器的作用会很有帮助。
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6625
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
Security
tianshuai1212的博客
09-03 317
Spark Security Spark目前通过共享密钥支持身份验证。 可以通过spark.authenticate配置参数将身份验证配置为打开。 此参数控制Spark通信协议是否使用共享密钥进行身份验证。 此身份验证是一种基本握手,可确保双方具有相同的共享密钥并允许进行通信。 如果共享密钥不相同,则不允许它们进行通信。 共享密钥创建如下: 对于YARN部署上的Spark,将spark.au...
SpringSecurity.zip
06-08
​ Spring Security:spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
springSecurity
10-14
springSecurity
详解Vue中nextTick的原理与作用
fengjing81的专栏
07-24 728
Vue中的nextTick是一个非常重要的API,它允许开发者延迟回调函数的执行直到下次DOM更新循环之后。这一机制在Vue开发中非常有用,特别是在处理DOM更新和异步操作时。下面将详细解释nextTick的原理与作用。
vue实现电子签名、图片合成、及预览功能
weixin_58572700的博客
07-23 1029
本文介绍了电子签名、图片合成、及预览功能
vue3使用递归组件渲染层级结构
weixin_42234899的博客
07-25 461
vue3使用递归组件渲染层级结构
Vue系列面试题
qq_44186810的博客
07-23 903
Vue2中采用Object.defineProperty来实现数据响应式,Object.definePropery虽然可以监听到数组的变化,但是由于在性能和体验的性价比上考虑,Vue2放弃了这个特性。1)v-for优先于v-if被解析,从源码中发现,先处理静态节点,在处理once,在处理for,在处理if,代码显示for的优先级比if高,断点调试也证实for优先于if。v-if:是惰性渲染机制,在属性初始为false时,组件就不会被渲染,直到条件为true,并且切换条件时会触发销毁/挂载组件。
chromedriver-mac-arm64_126.0.6465.0.zip
07-31
chromedriver-mac-arm64_126.0.6465.0.zip
chromedriver-mac-x64_122.0.6235.0.zip
最新发布
07-31
chromedriver-mac-x64_122.0.6235.0.zip
chromedriver-mac-x64_122.0.6188.0.zip
07-31
chromedriver-mac-x64_122.0.6188.0.zip
【JCR2区】基于matlab阿基米德算法优化最小二乘法AOA-LSSVM数据分类【含Matlab源码 6004期】.zip
07-31
CSDN海神之光上传的代码均可运行,亲测可用,换数据就行,适合小白; 1、代码压缩包内容 主函数:main.m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化最小二乘法支持向量机LSSVM分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化LSSVM 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化LSSVM 4.4.3 灰狼算法GWO/狼群算法WPA优化LSSVM 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化LSSVM 4.4.5 萤火虫算法FA/差分算法DE优化LSSVM 4.4.6 其他优化算法优化LSSVM
【JCR2区】基于matlab蚁狮算法优化最小二乘法ALO-LSSVM数据分类【含Matlab源码 6057期】.zip
07-31
CSDN海神之光上传的代码均可运行,亲测可用,换数据就行,适合小白; 1、代码压缩包内容 主函数:main.m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化最小二乘法支持向量机LSSVM分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化LSSVM 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化LSSVM 4.4.3 灰狼算法GWO/狼群算法WPA优化LSSVM 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化LSSVM 4.4.5 萤火虫算法FA/差分算法DE优化LSSVM 4.4.6 其他优化算法优化LSSVM
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值