springboot+vue3.0+token 安全验证

最新推荐文章于 2024-07-30 18:39:48 发布
最新推荐文章于 2024-07-30 18:39:48 发布
阅读量3.3k 收藏 21
点赞数 4
分类专栏: vue Java 文章标签: 过滤器 shiro java token vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiexiangyan/article/details/119866282
版权
Java 同时被 2 个专栏收录
17 篇文章 0 订阅
订阅专栏
vue
2 篇文章 1 订阅
订阅专栏
本文介绍了在前后端分离的Vue项目中,使用SpringBoot结合JWT进行Token安全验证的步骤。包括后端添加JWT依赖,创建Token工具类,设置拦截器进行Token验证,配置跨域和登录接口;前端创建store文件夹,添加路由守卫,设置请求拦截器,以及登录测试。详细阐述了Token的生成、验证和拦截过程。
摘要由CSDN通过智能技术生成

springboot+vue+token安全验证

目录

一、说明

在前后端完全分离的情况下,Vue项目中实现token验证大致思路如下(懒得打字,这一部分引用了该博主的内容 Vue项目中实现用户登录及token验证):

1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码

2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token

3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面

4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面

5、每次调后端接口,都要在请求头中加token

6、后端判断请求头中有无token,有token,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回401,请求头中没有token也返回401

7、如果前端拿到状态码为401,就清除token信息并跳转到登录页面

二、后台(springboot)

1、添加依赖包

在springboot项目中添加jwt依赖包,这个主要作用是token的加密与解密方法。

 <!--jwt 依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2、添加token工具类

添加token工具类,TokenUtil

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.lin.springMVC.domain.User;

import java.util.Date;

public class TokenUtil {
    private static final long EXPIRE_TIME= 10*60*60*1000;
    private static final String TOKEN_SECRET="txdy";  //密钥盐
    /**
     * 签名生成
     * @param user
     * @return
     */
    public static String sign(User user){
        String token = null;
        try {
            Date expiresAt = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            token = JWT.create()
                    .withIssuer("auth0")
                    .withClaim("userAccount", user.getUserAccount())
                    .withExpiresAt(expiresAt)
                    // 使用了HMAC256加密算法。
                    .sign(Algorithm.HMAC256(TOKEN_SECRET));
        } catch (Exception e){
            e.printStackTrace();
        }
        return token;
    }
    /**
     * 签名验证
     * @param token
     * @return
     */
    public static boolean verify(String token){
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).withIssuer("auth0").build();
            DecodedJWT jwt = verifier.verify(token);
            System.out.println("认证通过:");
            System.out.println("userAccount: " + jwt.getClaim("userAccount").asString());
            System.out.println("过期时间:      " + jwt.getExpiresAt());
            return true;
        } catch (Exception e){
            return false;
        }
    }
}

3、创建拦截器

import com.alibaba.fastjson.JSONObject;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

@Component
public class TokenInterceptor implements HandlerInterceptor {
    private static final String token = "token#";
    @Autowired
    RedisHandler redisHandler;
    @Value("${api.api_prefix}")
    public String api_prefix;
    /**
     * 在请求处理之前进行调用,在进入Controller方法之前先进入此方法
     * 返回true才会继续向下执行,返回false取消当前请求
     * 登录拦截,权限资源控制工作
     */
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
        String userAccount = null;
        String redirectUrl = "login";

        if ((httpServletRequest.getParameter("language") != null && !httpServletRequest.getParameter("language").equals("en"))) {
            redirectUrl += "_en";
        }
        Cookie[] cookies = httpServletRequest.getCookies();//从cookie中取值
        String token1 = httpServletRequest.getHeader("Access-Token");// 从 http 请求头中取出 token
        if(token1 != null){
            boolean result = TokenUtil.verify(token1);
            if(result){
                System.out.println("通过拦截器");
                return true;
            }
        }
        try{
            JSONObject json = new JSONObject();
            json.put("msg","token verify fail");
            json.put("status","401");
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json; charset=utf-8");
            PrintWriter out = null;
            out = httpServletResponse.getWriter();
            out.append(json.toString());
            return false;
        }catch (Exception e){
            e.printStackTrace();
            JSONObject json = new JSONObject();
            json.put("msg","error");
            json.put("status","500");
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json; charset=utf-8");
            PrintWriter out = null;
            out = httpServletResponse.getWriter();
            out.append(json.toString());
            return false;
    }

}

4、入口拦截

配置入口拦截,ShiroConfiguration类


import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;

/**
 * shiro配置类
 */
@Configuration
public class ShiroConfiguration {
    /**
     * Shiro的Web过滤器Factory 命名:shiroFilter
     */
    @Bean(name = "shiroFilter")
    //相当于<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        //for defining the master Shiro Filter
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //Shiro的核心安全接口Sets the application {@code SecurityManager} instance to be used by the constructed Shiro Filter.
        //This is a required property - failure to set it will throw an initialization exception.
        shiroFilterFactoryBean.setSecurityManager(securityManager);//<property name="securityManager" ref="securityManager"/>
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        //Most implementations subclass one of the
        //{@link AccessControlFilter}, {@link AuthenticationFilter}, {@link AuthorizationFilter} classes to simplify things,
        //and each of these 3 classes has configurable properties that are application-specific.
        filterMap.put("authc", new AjaxPermissionsAuthorizationFilter());//添加过滤器
        shiroFilterFactoryBean.setFilters(filterMap);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();//相当于<property name="filterChainDefinitions">
        filterChainDefinitionMap.put("/", "anon");
//        filterChainDefinitionMap.put("/debug/**", "anon");
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/register", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
    }

5、配置跨域

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        /*是否允许请求带有验证信息*/
        corsConfiguration.setAllowCredentials(true);
        /*允许访问的客户端域名*/
        corsConfiguration.addAllowedOrigin("*");
        /*允许服务端访问的客户端请求头*/
        corsConfiguration.addAllowedHeader("*");
        /*允许访问的方法名,GET POST等*/
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}

6、登录接口

    @PostMapping("/login")
    @ResponseBody
    public ModelMap userLogin(@RequestBody User userform, HttpServletRequest request, HttpServletResponse response, @RequestHeader("language") String language) {
        String status;
        String url = redirectUrl;
        String token1="";
        int code;
        ModelMap result = new ModelMap();
        Subject currentUser = SecurityUtils.getSubject();
        try {
            currentUser.login(token);
            User user = userService.getUserInfo(userform.getUserAccount(), ShiroUtils.generatePwdEncrypt(userform.getUserPassword(), salt));
            if (user != null) {
                try {
                    token1 = TokenUtil.sign(userform);
                    status = "success";
                    code = 200;
                } catch (JedisConnectionException | RedisConnectionFailureException e) {
                    //用户登录记录
                    userLog(user, request.getRemoteUser(), "login_error:" + e.toString());
                    status = "fail";
                    code = 400;
                }
            } else {
                User userTemp = new User();
                userTemp.setUserId("null");
                userTemp.setUserAccount("null");
                userLog(userTemp, request.getRemoteUser(), "login_error:user is not exist!");
                status = "fail";
                code = 401;
            }
        } catch (AuthenticationException e) {
            //用户登录记录
            User userTemp = new User();
            userTemp.setUserId("null");
            userTemp.setUserAccount("null");
            userLog(userTemp, request.getRemoteUser(), "login_error:user is not exist!");
            status = "fail";
            code = 401;
        }
        result.put("status", status);
        result.put("code", code);
        result.put("token",token1);
        result.put("url", "null");
        return result;
    }

三、前端(vue)

1、src目录下创建store文件夹

在store文件夹下新建 index.js:

  [SET_TOKEN]: (state, token: string) => {
    state.token = token;
    ls.set(STORAGE_TOKEN_KEY, token);
  },

2、添加路由守卫

import router from '@/router';
import store from '@/store';
import localStorage from '@/utils/local-storage';
import { allowList, loginRoutePath } from '../define-meta';
import { STORAGE_TOKEN_KEY } from '@/store/mutation-type';
// eslint-disable-next-line
import { GENERATE_ROUTES, GENERATE_ROUTES_DYNAMIC, GET_INFO } from '@/store/modules/user/actions';

router.beforeEach(async to => {
  const userToken = localStorage.get(STORAGE_TOKEN_KEY);
  // token check
  if (!userToken) {
    // 白名单路由列表检查
    if (allowList.includes(to.name as string)) {
      return true;
    }
    if (to.fullPath !== loginRoutePath) {
      // 未登录,进入到登录页
      return {
        path: loginRoutePath,
        replace: true,
      };
    }
    return to;
  }

  // check login user.role is null
  if (store.getters['user/allowRouters'] && store.getters['user/allowRouters'].length > 0) {
    return true;
  } else {
    const info = await store.dispatch(`user/${GET_INFO}`);
    // 使用当前用户的 权限信息 生成 对应权限的路由表
    const allowRouters = await store.dispatch(`user/${GENERATE_ROUTES}`, info);
    if (allowRouters) {
      return { ...to, replace: true };
    }
    return false;
  }
});

router.afterEach(() => {});

3、添加拦截器

// 请求拦截器
const requestHandler = (
  config: AxiosRequestConfig,
): AxiosRequestConfig | Promise<AxiosRequestConfig> => {
  const savedToken = localStorage.get(STORAGE_TOKEN_KEY);
  // 如果 token 存在
  // 让每个请求携带自定义 token, 请根据实际情况修改
  if (savedToken) {
    config.headers[REQUEST_TOKEN_KEY] = savedToken;
  }
  config.headers[language] = 'cn';
  return config;
};

4、登录测试

  [LOGIN]({ commit }, info: LoginParams) {
    return new Promise((resolve, reject) => {
      // call ajax
      postAccountLogin(info)
        .then(res => {
          commit(SET_TOKEN, res.token);
          resolve(res);
        })
        .catch(error => {
          reject(error);
        });
    });
  },

代码很多,写的比较杂,记录下,怕自己忘记了,之前项目用的cookie,在此基础上修改了下。也多谢下面的大神提供的帮助。

链接: VUE SPRINGBOOT实现TOKEN登录以及访问验证.
链接: Vue项目中实现用户登录及token验证.

xiexiangyan
关注
专栏目录
vue3和springboot3下token验证出现的一些问题
qq_53493536的博客
04-04 298
设置成功之后,这下应该可以了吧,但是我发现虽然能够读取了,但是仍然读取不到,然后我看了一下,我设置的响应头中的属性是:Authorization,但是它自动改成:authorization,然后我将上面用于接收的大写改成了小写,终于能够正常接收了。response.addHeader("Authorization",token),向头中添加一个字段,前面是这个字段的名字,这个名字可以随便起,但是约定俗成是这个名字。第一个参数是固定的关键词,第二个参数表示你想要前端读取到的属性。
Springboot+Vue3+Satoken简单多账号权限认证
qq_61958402的博客
06-27 809
创建StpUserUtil与StpAdminUtil文件,这样就能做到不同的账号分开验证。管理员登录ServiceImpl也是差不多的,要传给前端一个token。管理员信息要管理员token验证,并且修改里面的LoginType。我的信息需要用户token验证,在testController里。公开不需要token验证,想要用多账户验证,先请阅读。
Java Springboot3 Jwt接口token验证
最新发布
qq_36729594的博客
07-30 357
环境:JDK17、Springboot3.0.5、jjwt0.12.3、Manve3.8.1。
spring-boot + VUE 实现登录token验证,前后台获取当前登录人信息 三部曲(二)
小熙哥的博客
06-20 8085
public class AuthenticationInterceptor implements HandlerInterceptor { @Autowired UserService userService; @Override public boolean preHandle(HttpServletRequest httpServletRequest,...
后端校验请求签名
qq_49278026的博客
07-23 1851
springboot的拦截器实现对所有API接口校验签名、是否超时、请求是否重复。防止前端发送的请求被篡改,导致后端进行非正常操作
vue3(element-plus)+springboot
panda_225400的博客
08-22 3259
最近公司想开发个客户需求变更发布系统,以前都是邮件飞来飞去,无记可寻,容易出现失误,要让客户变更要求系统化数字化,这样的数据可以进行分类统计分析,来更好的服务客户,我想使用vue3(element-plus)前后端分离的来实现此系统,故此学习了下vue框架提示:以下是本篇文章正文内容,下面案例可供参考记录点点滴滴。
springboot + VUE实现后台管理系统(集成JWT接口权限验证)
wwwzhouzy的专栏
08-07 835
源码地址:https://codechina.csdn.net/wwwzhouzy/vuespringboot 前端项目:smart-admin-web 后台项目:bootAdmin 一、用到的技术 1、前端 Vue + Vue-Router + Vuex + ViewUI + vue-enum +Axios View UI即为原先的 iView,从 2019 年 10 月起正式更名为 View UI,官网地址:https://www.iviewui.com/ 不过也可以使用VUE+elem.
springboot+vue实现登录案例(附VUE整个项目代码)
qq_45821255的博客
08-31 5736
实现Springboot+vue项目登录模块
Java大牛带你4小时开发一个SpringBoot+vue前后端分离博客项目
2401_84093019的博客
05-05 1001
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
springboot+vue练手级项目,真实的在线博客系统
m0_67403240的博客
07-29 1万+
1=1=null">=null">
开发博客系统SpringBoot+Vue教程
fhzmWJ的博客
05-15 2224
个人的开发挑战计划1
Spring Boot + Vue3 完整开发全栈项目附资料.zip
06-24
Spring Boot + Vue3 完整开发全栈项目附资料 主要是完整的项目实战
【三】springboot整合token
热门推荐
weixin_56995925的博客
09-03 1万+
springboot整合token
SpringbootVue3-Springboot引入JWT实现登录校验以及常见的错误解决方案
SKMIT的博客
11-08 1167
项目版本:后端: Springboot 2.7、 Mybatis-plus、Maven 3.8.1数据库:MySQL 8.0前端:Vue3、Axois 1.6.0 、Vite 4.5.0、Element-Plus、Router-v4JWT 全称 JSON Web Token,是一种基于 JSON 的数据对象,通过技术手段将数据对象签名为一个可以被验证和信任的令牌(Token)在客户端和服务端之间进行安全的传输。
Vue3+SpringBoot快速开发模板
观止study
08-07 1114
Vue3+SpringBoot项目快速开发模板,简单完善后端yml配置即可使用(登录、退出登录、注册、修改密码、重置密码、个人资料查看与修改、头像上传)
案例点击弹出登录页面并拖拽
qq_43712187的博客
12-21 272
功能: (1)、点击弹出对话框有遮盖曾 (2)、关闭登录页面 (3)、页面可用拖拽 代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <style> *{ padding: 0px; margin: 0px; .
VUE3+SpringBOOT学习笔记(一)
BensonJ的专栏
07-15 258
以前的开发经验是VUE2+PHP,最近客户项目需要VUE+JAVA后端开发,所以记录一下学习历程。
学习Vue3+SpringBoot项目(一)
2301_82110462的博客
03-28 854
文章学习Vue3+SpringBoot框架,我将向大家介绍Vue3和SpringBoot是什么,怎么下载配置Java/JDK、下载配置NodeJs、下载配置MySQL和Redis,最后带大家下载前后端开发软件(包含破解IDEA和激活码的获取)
前后端分离项目 Vue3+SpringBoot 后台管理系统
wang115t的博客
02-19 1488
Src 文件夹下-新建 test 文件夹以及 resource 文件夹。而且不会添加数据成功,并向客户端返回 1 条自定义异常 JSON 数据。注意:在 Idea 中,设置 CSS 样式,使用双斜杠//注解会报错。注意:test 文件夹下的包路径要与 java 的源代码路径要一致。添加 数据到数据库 成功后-返回自定义 JSON 格式的数据。并启动测试-查看 MyBatis-Plus 是否成功加载。如果在添加过程中,发生了异常,如提交的数据格式不对,后台直接将该异常进行了捕获。提交 JSON 格式的数据。
springboot+mybatisplus+mysql多模块系统+vue3.0开源系统
05-12
SpringBoot是一种后端框架,它提供了快速构建微服务的能力。MybatisPlus是一种ORM框架,简化了Java对象和关系数据库之间的映射。MySQL是一种关系型数据库,提供了数据存储的能力。多模块系统是指一个大型系统被拆分成多个独立模块,每个模块可以单独构建,便于维护和扩展。Vue3.0是一种前端框架,提供了快速构建Web应用的能力。 基于SpringBoot和MybatisPlus可以快速构建一个后端服务,通过MySQL存储数据。采用多模块系统可以将系统拆分成多个独立的模块,方便团队协作和系统管理。而基于Vue3.0可以快速构建一个现代化的单页应用,提供可视化的用户界面。 整合以上技术可以构建一个功能完备的开源系统,具备良好的扩展性和维护性。该系统可以用于快速开发商业应用,降低开发成本和提高开发效率。因此,使用SpringBoot、MybatisPlus、MySQL、多模块系统和Vue3.0构建开源系统是一个非常明智的选择。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值