0 前后端分离下的用户信息认证

前端使用Vue+axios,后端使用SpringBoot+SpringSecurity。

为了解决http无状态的问题,我采用jwt(json web token)保存用户信息,前端每次发起请求时带上,交给后端做用户认证。此时需要解决的问题是后端如何将生成的jwt返回前端,以及前端在拿到jwt后如何在每次请求时携带jwt。

1 后端校验用户成功以后,将生成的token写到响应头里

response.addHeader("Authorization", "Bearer " + jwt);

jwt就是自己生成的token,是String类型。

  1. <!-- jwt依赖 -->
  2. <dependency>
  3.     <groupId>io.jsonwebtoken</groupId>
  4.     <artifactId>jjwt</artifactId>
  5.     <version>0.9.0</version>
  6. </dependency>
  1. // 完整代码
  3. /**
  4.  * 登录验证
  5.  * 登录成功就生成token并放入响应头
  6.  */
  7. public class JwtLoginFilter extends UsernamePasswordAuthenticationFilter {
  9.     private AuthenticationManager authenticationManager;
  11.     public JwtLoginFilter(AuthenticationManager authenticationManager) {
  12.         this.authenticationManager = authenticationManager;
  13.     }
  15.     private static final Logger logger
  16.             = LoggerFactory.getLogger(JwtLoginFilter.class);
  18.     // 省略了重写的attemptAuthentication()
  20.     @Override
  21.     protected void successfulAuthentication(HttpServletRequest request,
  22.                                             HttpServletResponse response,
  23.                                             FilterChain chain,
  24.                                             Authentication authResult)
  25.             throws IOException, ServletException {
  26.         // 获取用户角色
  27.         Collection<? extends GrantedAuthority> authorities = authResult.getAuthorities();
  28.         // 我的数据库设计了一个用户只会有一个角色
  29.         Iterator<? extends GrantedAuthority> iterator = authorities.iterator();
  30.         String role = "";
  31.         if (iterator.hasNext()) {
  32.             role = iterator.next().getAuthority();
  33.         }
  35.         // 生成token
  36.         String jwt = Jwts.builder()
  37.                 //配置用户角色
  38.                 .claim("authorities", role)
  39.                 .setSubject(authResult.getName())
  40.                 //过期时间,一小时
  41.                 .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 1000))
  42.                 .signWith(SignatureAlgorithm.HS512, "密钥")
  43.                 .compact();
  45.         //将token写到响应头里
  46.         response.addHeader("Authorization", "Bearer " + jwt);
  47.         // 自定义方法,给响应设置状态码等
  48.         ResponseDataUtil.setDataInResponse(response,
  49.                 null,
  50.                 HttpStatusEnum.SUCCESSFUL,
  51.                 true);
  52.     }
  53. }

2 后端开启配置,使前端可以获取到响应头里的token

  1. /**
  2.  * 配置cors,解决前端访问后端的跨域资源问题
  3.  */
  4. @Configuration
  5. public class WebMvcConfig implements WebMvcConfigurer {
  6.     @Override
  7.     public void addCorsMappings(CorsRegistry registry) {
  8.         registry.addMapping("/**")
  9.                 //设置了前端的地址
  10.                 .allowedOrigins("http://localhost:10011")
  11.                 .allowedMethods("GET", "POST", "DELETE", "PUT", "OPTIONS", "HEAD")
  12.                 .allowedHeaders("*")
  13.                 //将请求头里保存的token暴露出来给前端获取
  14.                 .exposedHeaders("Authorization");
  15.     }
  16. }

重点是调用了exposedHeaders(),否则前端无法获取到响应头中键为Authorization的值。

现在,登录请求的响应头中已经增加了保存着token的Authorization。

3 前端在登录方法的回调函数里面获取响应头里的token

  1. login() {
  2.       // 对表单数据的有效性进行验证
  3.       this.$refs.loginFormRef.validate(async valid => {
  4.         if (!valid) return
  5.         // 表单数据有效,发送请求
  6.         const data = await this.$request.postWithBody('login', this.loginForm)
  7.         if (data.successful) {
  8.           // 将token保存到本地
  9.           window.sessionStorage.setItem('jwt', data.token)
  10.           this.$router.push('/home')
  11.         }
  12.       })
  13.     }

this.$request.postWithBody('login', this.loginForm)是我自己封装的axios方法,用于发送post请求。当然完全可以用原生额axios的post方法。

window.sessionStorage.setItem('jwt', data.token)将从后台返回的token保存在本地。其中jwt是这个键值对的键,可以根据自己的习惯命名。

4 前端axios配置请求拦截器,给每个请求加上token

  1. // 请求拦截器
  2. axios.interceptors.request.use(request => {
  3.   // 显示进度条
  4.   Nprogress.start()
  5.   request.headers.Authorization = window.sessionStorage.getItem('jwt')
  6.   return request
  7. })

这一步可以将前端发送的每一个请求都拦截下来,并在请求头里添上第3步中获取到的jwt。

5 效果

此时,前端发送的请求中,已经在请求头加入了jwt,后端收到请求后,将请求头里的token取出进行解析,完成用户认证。

本文由博客群发一文多发等运营工具平台 OpenWrite 发布

前后端分离下用jwt做用户认证的更多相关文章

  1. Spring Security OAuth2.0认证授权六:前后端分离下的登录授权

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  2. 前后端分离,简单JWT登录详解

    前后端分离,简单JWT登录详解 目录 前后端分离,简单JWT登录详解 JWT登录流程 1. 用户认证处理 2. 前端登录 3. 前端请求处理 4. 后端请求处理 5. 前端页面跳转处理 6. 退出登录 ...

  3. 前后端分离下的CAS跨域流程分析

    写在最前 前后端分离其实有两类: 开发阶段使用dev-server,生产阶段是打包成静态文件整个放入后端项目中. 开发阶段使用dev-server,生产阶段是打包成静态文件放入单独的静态资源服务器中, ...

  4. 从壹开始前后端分离[.NetCore] 37 ║JWT完美实现权限与接口的动态分配

    缘起 本文已经有了对应的管理后台,地址:https://github.com/anjoy8/Blog.Admin 哈喽大家好呀!又过去一周啦,这些天小伙伴们有没有学习呀,已经有一周没有更新文章了,不过 ...

  5. SpringBootSecurity学习(13)前后端分离版之JWT

    JWT 使用 前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能.但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和c ...

  6. 前后端分离java、jwt项目进行CORS跨域、解决非简单请求跨域问题、兼容性问题

    情况描述: 最近在部署一个前后端分离的项目出现了跨域问题*, 项目使用jwt进行鉴权,需要前端请求发起携带TOKEN的请求*,请求所带的token无法成功发送给后端, 使用跨域后出现了兼容性问题:Ch ...

  7. Session与Token认证机制 前后端分离下如何登录

     字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的.当然它知道是哪个客户端地址发过来的 ...

  8. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理|前后端分离(下)----筑基后期

    写在前面 在上一篇文章<SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期>当中,我们初步实现了SpringBoot整合Shiro ...

  9. 前后端分离下的跨域CAS请求

    最重要的两点: ajax请求跨域的时候,默认不会携带cookie. 请求分为普通请求(HttpRequest)和Ajax请求(XMLHttpRequest) 先屡一下跨域CAS认证的流程: 前端发起a ...

随机推荐

  1. Spring02——Spring 中 Bean 的生命周期及其作用域

    在前一篇文章中,我们已经介绍了 Spring IOC 的相关知识,今天将为个位介绍 Spring 中 Bean 的相关知识.关注我的公众号「Java面典」,每天 10:24 和你一起了解更多 Java ...

  2. Linux常用命令 - find命令基础使用(重点)

    1篇测试必备的Linux常用命令,每天敲一篇,每次敲三遍,每月一循环,全都可记住!! https://www.cnblogs.com/poloyy/category/1672457.html 首先,先 ...

  3. JVM 常见参数配置

    -XX:+PrintGC  每次触发GC的时候打印相关日志 -XX:+PrintGCDetails 每次触发GC的时候更详细的相关日志 -XX:+UseSerialGC 串行回收 -Xms 堆初始值( ...

  4. 将图片base64格式转换为file对象并读取(两种方式读取)

    两种方式读取,一种URL.createObjectURL,另一种fileReader   var base64 = ` data:image/jpeg;base64,/9j/4AAQSkZJRgABA ...

  5. 加密解密 Python

    常见加密方式和Python实现 1. 前言 我们所说的加密方式,都是对二进制编码的格式进行加密的,对应到Python中,则是我们的Bytes. 所以当我们在Python中进行加密操作的时候,要确保我们 ...

  6. vue+express+mongodb 实现 增删改查

    一.创建一个vue项目 用脚手架vue-cli搭建一个项目,数据请求用axios方式,写几个按钮用来调接口(vue这块不做多解释,不懂的可以先去官网学习vue-cli:https://cli.vuej ...

  7. thinkphp5.1中使用链式操作的坑

    1.在进行tp5->tp5.1的时候,没有想太多,直接使用之前的代码:结果在该操作中,多次调用该get方法,tp5.1的链式操作一直保持了之前的搜索条件,截图如下:(具体的代码没有展示) 2.然 ...

  8. 新安装的eclipse配置好了环境变量后,打开还是出现A Java runtime environment错误

    新安装的eclipse配置好了环境变量后,打开还是出现如下图的A Java runtime environment错误; 解决方法: 第一步: Windows环境下:把C:\Users\你的用户名 目 ...

  9. Maven多模块项目+MVC框架+AJAX技术+layui分页对数据库增删改查实例

    昨天刚入门Maven多模块项目,所以简单写了一个小测试,就是对数据库单表的增删改查,例子比较综合,写得哪里不妥还望大神赐教,感谢! 首先看一下项目结构: 可以看到,一个项目MavenEmployee里 ...

  10. WireShark数据包分析一:认识WireShark

    一.认识WireShark WireShark是一款抓包软件,官方网址:WireShark.org 官网如下图: 选择Download,在官网下载安装WireShark即可. WireShark可用来 ...