传统Spring MVC + RESTful 与 Vue3 结合 JWT Token 验证的示例

最新推荐文章于 2025-05-21 15:08:24 发布
最新推荐文章于 2025-05-21 15:08:24 发布
阅读量249 收藏 8
点赞数 2
分类专栏: 前端技术 后端技术 文章标签: spring mvc restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuren_xia/article/details/148107829
版权

以下是针对非Spring Boot项目(传统Spring MVC)的示例

一、项目结构

src/
├── main/
│   ├── java/
│   │   └── com/
│   │       └── example/
│   │           ├── config/          # 配置类目录
│   │           │   ├── SecurityConfig.java
│   │           │   ├── WebMvcConfig.java
│   │           │   └── JwtFilter.java
│   │           ├── controller/      # 控制器
│   │           ├── service/         # 服务层
│   │           ├── util/            # 工具类
│   │           │   └── JwtUtil.java
│   │           └── model/           # 数据模型
│   └── resources/
│       ├── applicationContext.xml   # XML配置(可选)
│       └── web.xml                # Servlet配置

二、核心配置

1.引入相关依赖
 <!-- Spring Security -->
  		<dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>5.3.30</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.7.1</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.7.1</version>
        </dependency>
        <!-- JWT Token -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
2. web.xml 配置(传统部署方式)
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <!--配置DispatcherServlet-->
    <servlet>
        <servlet-name>springmvc</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:applicationContext.xml</param-value>
        </init-param>
    </servlet>
    <servlet-mapping>
        <servlet-name>springmvc</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>   
    <!--Spring Security 过滤器-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>
3. Spring Security Java 配置(替代XML)
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private JwtAuthenticationFilter jwtAuthFilter;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .cors().and() // 显式启用CORS配置
                .csrf().disable()
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers(new AntPathRequestMatcher(HttpMethod.OPTIONS.name())).permitAll()// 允许所有OPTIONS请求
                        .requestMatchers(new AntPathRequestMatcher("/login")).permitAll() // 允许登录接口公开
                        .requestMatchers(new AntPathRequestMatcher("/register")).permitAll() // 允许注册接口公开
                        .requestMatchers(new AntPathRequestMatcher("/captcha")).permitAll() // 允许验证码接口公开
                        .anyRequest().authenticated() // 其他接口需要认证
                )
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }
}
4. JWT 过滤器(适配传统项目)
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        String authHeader = request.getHeader("Authorization");
        String token = null;
        String username = null;

        // 直接放行 OPTIONS(预检) 请求(restful风格接口必须放行此处)
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            chain.doFilter(request, response);
            return;
        }

        // 从请求头提取 Token(格式:Bearer <token>)
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            token = authHeader.substring(7);
            try {
                username = jwtUtil.extractUsername(token);
            } catch (Exception e) {
                // Token 解析失败直接拦截
                sendUnauthorized(response);
                return;
            }
        }

        // 如果 Token 有效且用户未认证,则设置认证信息
        // 验证 Token 有效性
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            if (!jwtUtil.validateToken(token)) {
                sendUnauthorized(response);
                return;
            }
            // 创建认证信息
            UsernamePasswordAuthenticationToken authentication =
                    new UsernamePasswordAuthenticationToken(username, null, new ArrayList<>());
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        // 关键拦截点:已通过过滤器但仍未认证的请求
        if (isProtectedPath(request.getRequestURI()) &&
                SecurityContextHolder.getContext().getAuthentication() == null) {
            sendUnauthorized(response);
            return;
        }

        chain.doFilter(request, response);
    }
    private boolean isProtectedPath(String path) {
        return !path.startsWith("/login")
                && !path.startsWith("/register")
                && !path.startsWith("/captcha");
    }

    private void sendUnauthorized(HttpServletResponse response) throws IOException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.getWriter().write("Unauthorized - Missing or invalid token");
    }
}

三、后端对接要点

1. 跨域配置(CORS)
(1)、方式1:WebMvcConfig
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://localhost:3000")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true);
    }
}
(2)、方式2:applicationConfig.xml配置方式
 <!-- 配置全局跨域 :注意该标签需放在mvc:annotation-driven标签前面-->
    <mvc:cors>
        <mvc:mapping path="/**"
                     allowed-origins="http://localhost:5173, https://example.com"
                     allowed-methods="GET, POST, PUT, DELETE, OPTIONS"
                     allowed-headers="Content-Type, Authorization"
                     allow-credentials="true"
                     max-age="3600"/>
    </mvc:cors>
2. 登录接口示例
@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private JwtUserDetailsService userDetailsService;

    @PostMapping("/login")
    public ResponseEntity<?> createAuthenticationToken(
            @RequestBody JwtRequest authenticationRequest) throws Exception {
        
        authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword());
        final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());
        final String jwt = jwtUtil.generateToken(userDetails);

        return ResponseEntity.ok(new JwtResponse(jwt));
    }

    private void authenticate(String username, String password) throws Exception {
        try {
            authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(username, password)
            );
        } catch (BadCredentialsException e) {
            throw new Exception("INVALID_CREDENTIALS", e);
        }
    }
}

四、前端代码示例

1、封装axios

在请求拦截器中获取保存在localStorage或store中的Token并添加到请求头中

// src/utils/request.js
import axios from 'axios'
import { ElMessage } from 'element-plus'
import router from '@/router'
import useUserStore from '@/store'
import config from '@/config'

const userStore = useUserStore()
axios.defaults.withCredentials = true; // 全局配置携带凭证(必须配置,否则因为跨域请求默认不携带 Cookie,会导致每次请求生成新 Session)
const service = axios.create({
baseURL:config.baseURL,
  timeout: 10000,
  headers: {
    'Content-Type': 'application/json;charset=UTF-8'
  }
})

// 请求拦截器
service.interceptors.request.use(
  config => {
   const token = userStore.getToken()
  if (token) {
    config.headers.Authorization = `Bearer ${token}`
  }
  return config
  },
  error => {
    return Promise.reject(error)
  }
)

// 响应拦截器
service.interceptors.response.use(
  response => {
    const res = response.data
    if (res.code !== 200) {
      if (res.code === 401) {
        console.log("401")
        handleLogout()
      }
      showErrorToast(res.message || '请求失败')
      return Promise.reject(new Error(res.message || 'Error'))
    }
    return res.data
  },
  error => {
    const status = error.response?.status
    const messageMap = {
      400: '请求错误',
      401: '未授权,请重新登录',
      403: '拒绝访问',
      404: '资源不存在',
      500: '服务器错误',
      502: '网关错误',
      503: '服务不可用',
      504: '网关超时'
    }
    const errorMessage = messageMap[status] || error.message
    showErrorToast(errorMessage)
    if (status === 401) {
      handleLogout()
    }
    return Promise.reject(error)
  }
)

// 封装GET请求
export function get(url, params = {}, config = {}) {
  return service.get(url, { params, ...config })
}

// 封装POST请求
export function post(url, data = {}, config = {}) {
  return service.post(url, data, config)
}

// 封装带文件上传的POST请求
export function postFile(url, data = {}, config = {}) {
  return service.post(url, data, {
    headers: {
      'Content-Type': 'multipart/form-data'
    },
    ...config
  })
}

// 错误提示
function showErrorToast(message) {
  ElMessage({
    type: 'error',
    message,
    duration: 3000
  })
}

// 处理登出逻辑
function handleLogout() {
  store.dispatch('user/logout')
  router.push('/login')
}

export default service
2、登录

将获取到的Token保存在localStorage或store中,下述代码是保存在pinia store中

 //登录成功
        showSuccessToast(result.msg);
        // 关键:使用 Pinia 存储 token
        userStore.login(result.token, { username: username.value })
        router.push("/home")
3、访问受保护的接口

因为封装好的axios在发送请求时会自动携带Token,所以访问受保护的接口时无需再额外处理

五、常见问题处理

1. 403 Forbidden 错误
// 检查是否配置了CSRF保护(REST API通常需要禁用)
http.csrf().disable()
2. Token 不生效
// 确保请求头包含:
Authorization: Bearer <your_token>

// 检查CORS配置是否允许Authorization头
.allowedHeaders("Authorization", "Content-Type")
3. 用户认证失败
// 检查UserDetailsService实现
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 必须从数据库或其他存储中加载用户信息
}

六、注意事项

因为跨域请求会提前发送一个Request Method为OPTIONS的预检请求,而此请求是浏览器自动发送的,不会携带Token,所以后端必须放行所有预检请求才行。

基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开篇
天罡gg的专栏
03-07 2万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
Spring Boot + Vue3 完整开发全栈项目附资料.zip
06-24
2. JWT认证授权:使用Spring Security和JWT(JSON Web Token)实现用户认证和授权,确保数据安全。 3. Axios集成:Vue3项目中,使用Axios库进行Ajax请求,Spring Boot后端进行通信。 四、Spring Boot核心组件 1. ...
Spring boot+VUE实现token验证
热门推荐
初夏0811的博客
06-08 2万+
5.前端之后的每一个对后端的请求都要在请求头上带上token,后端查看请求头是否有token,拿到token检查是否过期,返回对应状态给前端。这个拦截器主要的功能就是,把一些没有token的请求拦截下来并返回错误信息,有token就可以直接通过。4.之后前端每一次权限操作如跳转路由,都需要判断是否存在token,若不存在,跳转至登录页。2.后端验证用户名和密码,若通过,生成一个token返回给前端。6.若token已过期,清除token信息,跳转至登录页。注意:这边拦截的是后端的接口,不是前端的,
单realm模式下前后端分离实现springboot+shiro+jwt+vue整合
马疯蜗的博客
08-06 875
Springboot+Shiro前后端分离项目 1.shiro局限性 基于前后端分离的版本,其实shiro框架应用缺少了很多实用的功能。比如remenber me,比如Session,都无法正常使用。同时,每次访问后端,都需要重新进入realm中认证,如遇到权限判断,也每次都要重新授权,虽然可以使用redis减少数据库的压力,但是,每次认证和授权确实烦不胜烦。 ......
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理
weixin_43937302的博客
08-16 1999
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 ...
Spring Boot 2 + Spring Security 5 + JWTRestful简易教程!
程序员闪充宝
04-25 345
准备开始本教程的时候希望对下面知识点进行粗略的了解。知道 JWT 的基本概念了解过 Spring Security本项目中 JWT 密钥是使用用户自己的登入密码,这样每一个 token 的...
springboot+springsecurity+mybatis+jwt实现单点登录(详细到爆了)
Kevinnsm的博客
04-18 946
111
【前后端分离】Spring Security + Redis + JWT 实现动态权限管理
人生何事不浮云
10-24 4976
项目环境 本篇文章环境:Spring Boot + Mybatis + Spring Security + Redis + JWT 预期成果:实现具有验证码校验、RBAC 权限控制的前后端分离项目 注意:为什么要使用 Json Web TokenJWT)?这是因为前后端分离项目中,前端后端之间的通信采用 RESTFul API 的交互方式进行交互。这种前后端分离的交互是无状态的交互方式,所以,每次交互都必须进行身份验证。而传统方案是根据用户信息生成token,将token 存入浏览器 cookie(或存
Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现统一认证授权和网关鉴权
有来技术
07-03 7000
本篇基于 Spring Cloud & Alibaba + OAuth2 微服务技术栈实现认证服务器认证授权和网关(代理资源服务器)统一鉴权的总结文档。
基于 Spring Boot + Vue 的在线考试系统设计实现
qq_35827191的博客
12-18 1149
本文基于 Spring Boot 和 Vue 设计并实现了一个在线考试系统,重点解决了考试密码验证的需求,确保考试的安全性和公平性。系统功能模块完整,用户体验良好,并具有良好的扩展性。未来可以进一步优化考试监控和智能判分功能,提升系统智能化水平。SpringBoot+Vue在线考试系统。
基于SpringBoot + Vue3的前后端分离博客系统.zip
02-22
考虑到安全性,可能采用了JWT(JSON Web Tokens)进行身份验证,通过在请求头中携带Token实现无状态的身份验证。 在开发过程中,开发者可能使用了Git进行版本控制,Webpack进行模块打包,Eslint和Prettier进行代码...
Spring Boot + Vue 前后端分离博客系统源码.zip
05-26
JWT是一种轻量级的身份验证机制,它将认证信息编码为一个Token,发送给客户端,客户端在每次请求时附带Token,服务器验证Token有效性以确认用户身份。 **7. Maven或Gradle构建工具** Spring Boot项目通常使用Maven...
spring actuator 高危漏洞整改方案
vransy的博客
05-20 405
在绿盟的安全扫描中,Spring Actuator接口被识别为高危漏洞,因其可能暴露Spring应用的敏感信息。最初考虑使用Nginx拦截该接口,但此方法仅适用于外部端口,无法防止内部容器扫描导致的信息泄露。因此,决定关闭Actuator接口。测试方法为访问特定IP+端口+接口,若返回Spring信息则判定漏洞未修复。建议关闭包括健康检查、信息端点、度量指标、环境信息和映射信息在内的多个Actuator端点。内部关闭方案有两种:通过代码限制接口访问或通过Nacos配置关闭。
SpringBoot JAR 启动原理
查缺补漏第一人!
05-21 676
对 JAR 启动原理的查缺补漏
Spring的业务层,持久层,控制层的关系
qq_64392336的博客
05-19 824
上层依赖下层,下层不感知上层(如 Repository 不依赖 Service)。处理业务逻辑(如订单总价计算),调用 Repository 读写数据。是分层架构的核心组成部分,职责分离明确,通过依赖注入(DI)协作。事务管理困难(如多个 Repository 操作无法统一回滚)。:核心业务逻辑,事务管理,调用 Repository。定义数据库操作方法(如 SQL 或 ORM 映射)。封装响应(如 JSON),返回给前端。处理业务规则(如数据校验、流程控制)。组合多个持久层操作(如事务管理)。
SpringBoot 商城系统高并发引起的库存超卖库存问题 乐观锁 悲观锁 抢购 商品秒杀 高并发
生产队的驴
05-20 381
在高并发场景下,如商品秒杀和抢购,库存超卖是一个常见问题。Spring Boot 提供了两种主要解决方案:悲观锁和乐观锁。悲观锁通过加锁确保同一时刻只有一个线程访问资源,适用于资源冲突较多的场景,但性能较低。乐观锁则允许多线程并发访问,仅在提交时检查冲突,适用于冲突较少的场景,性能较高。乐观锁的实现方式包括版本号机制和时间戳机制。测试表明,无锁情况下会出现超卖问题,悲观锁解决了超卖但性能低下,乐观锁解决了超卖但高并发下性能仍不足。对于大数据量场景,建议使用其他中间件来优化性能。
2_Spring【IOC容器中获取组件Bean】
录大大i的博客
05-18 463
本文介绍了如何在Spring框架中创建IOC容器并获取Bean组件。首先,定义了一个接口TestDemo及其实现类HappyComponent。接着,通过XML配置文件spring-03.xml将HappyComponent类配置为Spring的Bean。然后,通过ClassPathXmlApplicationContext类创建IOC容器,并加载配置文件。最后,演示了三种从IOC容器中获取Bean的方式:通过Bean ID、Bean ID和类型、以及仅通过类型。文章还强调了根据类型获取Bean时,IOC容
Spring Retry深度解析:原理、实践扩展指南
最新发布
qq_43947876的博客
05-21 803
在分布式系统统治天下的时代,每个开发者都深谙这条铁律:失败不是意外,而是必然发生的常态。传统的`try-catch+循环重试`模式会迅速演变为代码肿瘤——不仅导致业务逻辑被防御性代码淹没,更会因缺乏统一策略引发重试风暴(Retry Storm)等灾难性后果。
SpringCloud——EureKa
2301_81283571的博客
05-19 950
本文介绍了微服务架构的基本概念及其优势,包括单一职责、面向服务、自治和隔离性等特点。重点讨论了微服务拆分及远程调用的注意事项,如避免重复开发、数据独立性和接口暴露等。此外,文章详细阐述了Eureka注册中心的原理及其在微服务架构中的作用,包括服务注册、发现和健康监控等。最后,提供了搭建EurekaServer和服务注册的具体步骤,以及如何通过服务名称进行服务发现和负载均衡的实现方法。
springboot + vue3 + jwt实现登录
01-15
### Spring Boot、Vue 3JWT 实现登录功能 为了实现基于 Spring Boot、Vue 3JWT 的用户认证系统,整个流程可以分为前端部分和后端部分。 #### 后端配置(Spring Boot) 创建一个简单的 RESTful API 来处理用户的登录请求。当接收到有效的用户名密码组合时,服务器会返回带有访问令牌的响应给客户端应用[^1]。 ```java @RestController public class AuthController { @PostMapping("/login") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) { // 验证逻辑... String token = jwtUtils.generateJwtToken(authentication); return ResponseEntity.ok(new JwtResponse(token)); } } ``` 此代码片段展示了如何设置控制器来接收 POST 请求并验证传入的数据。如果一切正常,则调用 `jwtUtils` 中的方法生成一个新的 JSON Web Token 并将其作为响应的一部分发送回去。 #### 前端集成(Vue 3) 在 Vue 应用程序中,可以通过 Axios 或其他 HTTP 客户端库向上述定义的服务发起请求。下面是一个简化版的例子说明怎样通过提交表单来进行身份验证: ```javascript import axios from &#39;axios&#39;; export async function loginUser(credentials) { try { const response = await axios.post(&#39;/api/auth/login&#39;, credentials); console.log(response.data.accessToken); // 存储或使用获取到的token localStorage.setItem("access-admin",response.data.token); return true; } catch (error) { alert(&#39;登录信息失败&#39;); localStorage.removeItem("access-admin"); throw error; } } ``` 这段 JavaScript 函数尝试连接至 `/api/auth/login` 路径下的服务,并传递包含凭证的对象;成功之后它将把获得的 access_token 存储起来以便后续操作使用[^2]。 对于错误情况,如未能正确完成身份验证过程的情况,在这里也加入了相应的异常捕获机制以及清理本地存储中的潜在过期 tokens 的措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值