SpringBoot 2.x 开发案例之前后端分离鉴权
前言
阅读本文需要一定的前后端开发基础,前后端分离已成为互联网项目开发的业界标准使用方式,通过Nginx代理+Tomcat的方式有效的进行解耦,并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,小程序,安卓,IOS等等)打下坚实的基础。这个步骤是系统架构从猿进化成人的必经之路。
其核心思想是前端页面通过AJAX调用后端的API接口并使用JSON数据进行交互。
原始模式
开发者通常使用Servlet、Jsp、Velocity、Freemaker、Thymeleaf以及各种框架模板标签的方式实现前端效果展示。通病就是,后端开发者从后端撸到前端,前端只负责切切页面,修修图,更有甚者,一些团队都没有所谓的前端。
分离模式
在传统架构模式中,前后端代码存放于同一个代码库中,甚至是同一工程目录下。页面中还夹杂着后端代码。前后端分离以后,前后端分成了两个不同的代码库,通常使用 Vue、React、Angular、Layui等一系列前端框架实现。
权限校验
回到文章的主题,这里我们使用目前最流行的跨域认证解决方案JSON Web Token(缩写 JWT)
pom.xml引入:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
工具类,签发JWT,可以存储简单的用户基础信息,比如用户ID、用户名等等,只要能识别用户信息即可,重要的角色权限不建议存储:
/**
* JWT加密和解密的工具类
*/
public class JwtUtils {
/**
* 加密字符串 禁泄漏
*/
public static final String SECRET = "e3f4e0ffc5e04432a63730a65f0792b0";
public static final int JWT_ERROR_CODE_NULL = 4000; // Token不存在
public static final int JWT_ERROR_CODE_EXPIRE = 4001; // Token过期
public static final int JWT_ERROR_CODE_FAIL = 4002; // 验证不通过
/**
* 签发JWT
* @param id
* @param subject
* @param ttlMillis
* @return String
*/
public static String createJWT(String id, String subject, long ttlMillis) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
SecretKey secretKey = generalKey();
JwtBuilder builder = Jwts.builder()
.setId(id)
.setSubject(subject) // 主题
.setIssuer("爪哇笔记") // 签发者
.setIssuedAt(now) // 签发时间
.signWith(signatureAlgorithm, secretKey); // 签名算法以及密匙
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
builder.setExpiration(expDate); // 过期时间
}
return builder.compact();
}
/**
* 验证JWT
* @param jwtStr
* @return CheckResult
*/
public static CheckResult validateJWT(String jwtStr) {
CheckResult checkResult = new CheckResult();
Claims claims;
try {
claims = parseJWT(jwtStr);
checkResult.setSuccess(true);
checkResult.setClaims(claims);
} catch (ExpiredJwtException e) {
checkResult.setErrCode(JWT_ERROR_CODE_EXPIRE);
checkResult.setSuccess(false);
} catch (SignatureException e) {
checkResult.setErrCode(JWT_ERROR_CODE_FAIL);
checkResult.setSuccess(false);
} catch (Exception e) {
checkResult.setErrCode(JWT_ERROR_CODE_FAIL);
checkResult.setSuccess(false);
}
return checkResult;
}
/**
* 密钥
* @return
*/
public static SecretKey generalKey() {
byte[] encodedKey = Base64.decode(SECRET);
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
return key;
}
/**
* 解析JWT字符串
* @param jwt
* @return
* @throws Exception Claims
*/
public static Claims parseJWT(String jwt) {
SecretKey secretKey = generalKey();
return Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();
}
}
验证实体信息:
/**
* 验证信息
*/
public class CheckResult {
private int errCode;
private boolean success;
private Claims claims;
public int getErrCode() {
return errCode;
}
public void setErrCode(int errCode) {
this.errCode = errCode;
}
public boolean isSuccess() {
return success;
}
public void setSuccess(boolean success) {
this.success = success;
}
public Claims getClaims() {
return claims;
}
public void setClaims(Claims claims) {
this.claims = claims;
}
}
拦截访问配置,跨域访问设置以及请求拦截过滤:
/**
* 拦截访问配置
*/
@Configuration
public class SafeConfig implements WebMvcConfigurer {
@Bean
public SysInterceptor myInterceptor(){
return new SysInterceptor();
}
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE","OPTIONS")
.allowCredentials(false).maxAge(3600);
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
String[] patterns = new String[] { "/user/login","/*.html"};
registry.addInterceptor(myInterceptor())
.addPathPatterns("/**")
.excludePathPatterns(patterns);
}
}
拦截器统一权限校验:
/**
* 认证拦截器
*/
public class SysInterceptor implements HandlerInterceptor {
private static final Logger logger = LoggerFactory.getLogger(SysInterceptor.class);
@Autowired
private SysUserService sysUserService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
Object handler){
if (handler instanceof HandlerMethod){
String authHeader = request.getHeader("token");
if (StringUtils.isEmpty(authHeader)) {
logger.info("验证失败");
print(response,Result.error(JwtUtils.JWT_ERROR_CODE_NULL,"签名验证不存在,请重新登录"));
return false;
}else{
CheckResult checkResult = JwtUtils.validateJWT(authHeader);
if (checkResult.isSuccess()) {
/**
* 权限验证
*/
String userId = checkResult.getClaims().getId();
HandlerMethod handlerMethod = (HandlerMethod) handler;
Annotation roleAnnotation= handlerMethod.getMethod().getAnnotation(RequiresRoles.class);
if(roleAnnotation!=null){
String[] role = handlerMethod.getMethod().getAnnotation(RequiresRoles.class).value();
Logical logical = handlerMethod.getMethod().getAnnotation(RequiresRoles.class).logical();
List<String> list = sysUserService.getRoleSignByUserId(Integer.parseInt(userId));
int count = 0;
for(int i=0;i<role.length;i++){
if(list.contains(role[i])){
count++;
if(logical==Logical.OR){
continue;
}
}
}
if(logical==Logical.OR){
if(count==0){
print(response,Result.error("无权限操作"));
return false;
}
}else{
if(count!=role.length){
print(response,Result.error("无权限操作"));
return false;
}
}
}
return true;
} else {
switch (checkResult.getErrCode()) {
case SystemConstant.JWT_ERROR_CODE_FAIL:
logger.info("签名验证不通过");
print(response,Result.error(checkResult.getErrCode(),"签名验证不通过,请重新登录"));
break;
case SystemConstant.JWT_ERROR_CODE_EXPIRE:
logger.info("签名过期");
print(response,Result.error(checkResult.getErrCode(),"签名过期,请重新登录"));
break;
default:
break;
}
return false;
}
}
}else{
return true;
}
}
/**
* 打印输出
* @param response
* @param message void
*/
public void print(HttpServletResponse response,Object message){
try {
response.setStatus(HttpStatus.OK.value());
response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
response.setHeader("Cache-Control", "no-cache, must-revalidate");
response.setHeader("Access-Control-Allow-Origin", "*");
PrintWriter writer = response.getWriter();
writer.write(JSONObject.toJSONString(message));
writer.flush();
writer.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
配置角色注解,可以直接把安全框架Shiro的拷贝过来,如果有需要,菜单权限也可以配置上:
/**
* 权限注解
*/
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresRoles {
/**
* A single String role name or multiple comma-delimitted role names required in order for the method
* invocation to be allowed.
*/
String[] value();
/**
* The logical operation for the permission check in case multiple roles are specified. AND is the default
* @since 1.1.0
*/
Logical logical() default Logical.OR;
}
模拟演示代码:
@RestController
@RequestMapping("/user")
public class UserController {
/**
* 列表
* @return
*/
@RequestMapping("/list")
@RequiresRoles(value="admin")
public Result list() {
return Result.ok("十万亿个用户");
}
/**
* 登录
* @return
*/
@RequestMapping("/login")
public Result login() {
/**
* 模拟登录过程并返回token
*/
String token = JwtUtils.createJWT("101","爪哇笔记",1000*60*60);
return Result.ok(token);
}
}
前端请求模拟,发送请求之前在Header中附带token信息,更多代码见源码案例:
function login(){
$.ajax({
url : "/user/login",
type : "post",
dataType : "json",
success : function(data) {
if(data.code==0){
$.cookie('token', data.msg);
}
},
error : function(XMLHttpRequest, textStatus, errorThrown) {
}
});
}
function user(){
$.ajax({
url : "/user/list",
type : "post",
dataType : "json",
success : function(data) {
alert(data.msg)
},
beforeSend: function(request) {
request.setRequestHeader("token", $.cookie('token'));
},
error : function(XMLHttpRequest, textStatus, errorThrown) {
}
});
}
</script>
安全说明
JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期建议设置的相对短一些。对于一些比较重要的权限,使用时应该再次对用户进行数据库认证。为了减少盗用,JWT 强烈建议使用 HTTPS 协议传输。
由于服务器不保存用户状态,因此无法在使用过程中注销某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
源码案例
https://gitee.com/52itstyle/safe-jwt
SpringBoot 2.x 开发案例之前后端分离鉴权的更多相关文章
- SpringBoot电商项目实战 — 前后端分离后的优雅部署及Nginx部署实现
在如今的SpringBoot微服务项目中,前后端分离已成为业界标准使用方式,通过使用nginx等代理方式有效的进行解耦,并且前后端分离会为以后的大型分布式架构.弹性计算架构.微服务架构.多端化服务(多 ...
- springBoot 搭建web项目(前后端分离,附项目源代码地址)
springBoot 搭建web项目(前后端分离,附项目源代码地址) 概述 该项目包含springBoot-example-ui 和 springBoot-example,分别为前端与后端,前后端 ...
- Angular企业级开发(9)-前后端分离之后添加验证码
1.背景介绍 团队开发的项目,前端基于Bootstrap+AngularJS,后端Spring MVC以RESTful接口给前端调用.开发和部署都是前后端分离.项目简单部署图如下,因为后台同时采用微服 ...
- Laravel 中使用 swoole 项目实战开发案例二 (后端主动分场景给界面推送消息)
推荐阅读:Laravel 中使用 swoole 项目实战开发案例一 (建立 swoole 和前端通信) 需求分析 我们假设有一个需求,我在后端点击按钮 1,首页弹出 “后端触发了按钮 1”.后端点了 ...
- SpringBoot+Vue豆宝社区前后端分离项目手把手实战系列教程01---搭建前端工程
豆宝社区项目实战教程简介 本项目实战教程配有免费视频教程,配套代码完全开源.手把手从零开始搭建一个目前应用最广泛的Springboot+Vue前后端分离多用户社区项目.本项目难度适中,为便于大家学习, ...
- 无需CORS,用nginx解决跨域问题,轻松实现低代码开发的前后端分离
近年来,前后端分离已经成为中大型软件项目开发的最佳实践. 在技术层面,前后端分离指在同一个Web系统中,前端服务器和后端服务器采用不同的技术栈,利用标准的WebAPI完成协同工作.这种前后端分离的&q ...
- CoreCRM 开发实录 —— 前后端分离的重构
虽然2月初就回来了,可 CoreCRM 一直到5月才开始恢复开发,期间是各种生活中的意外和不方便. 1. 为什么要重构 首先是一件很值得高兴的事情:CoreCRM 有了第一位 contributor! ...
- SpringBoot+Vue豆宝社区前后端分离项目手把手实战系列教程02---创建后端工程
本节代码开源地址 代码地址 项目运行截图 搭建后端工程 0.导入sql 在数据库导入 /* Navicat Premium Data Transfer Source Server : localhos ...
- SpringBoot 2.0 开发案例之百倍级减肥瘦身之旅
前言 为了存我的小黄图,最近在做一款图床服务,集成了各种第三方云存储服务,目前正在内部测试阶段.项目是以Jar的形式运行在腾讯云上,不要问我为什么使用腾讯云了,因为阿里云老用户和狗不得入内. 问题凸显 ...
随机推荐
- 关于Idea中不能使用Scanner在console
遇到了麻烦,在Idea中使用@Test运行程序时,scanner在控制台无法输入,然后来回折腾... 创建了一个新的类里面含有main方法,可以完美运行scanner: 重新回来,发现还是不行, 创建 ...
- C/C++书籍分享(百度网盘版)
作为第一篇博客,该写一些什么好呢,毕竟作为技术博客开创的,不能随便闲谈不是. 那就分享一些书籍作为见面礼吧.链接里面包含有大量的C++学习用书籍,包含了从入门到进阶的大部分高质量书籍,注意仅用作个人学 ...
- 可运行jar包的几种打包/部署方式(转)
转自:https://www.cnblogs.com/yjmyzz/p/executable-jar.html java项目开发中,最终生成的jar,大概可分为二类,一类是一些通用的工具类(不包含ma ...
- 发布一个npm包(webpack loader)
发布一个npm包,webpack loader: reverse-color-loader,实现颜色反转. 初始化项目 mkdir reverse-color-loader cd ./reverse- ...
- JDK dump
1. 查看整个JVM内存状态 jmap -heap 1237(pid) 2.生成dump文件 jmap -dump:file=文件名.dump 1237(pid)
- MyBatis框架——逆向工程
什么是逆向工程? 逆向工程师MyBatis提供的一种自动化配置方案,针对数据表自动生成MyBatis所需的各种资源,包括实体类.Mapper接口.Mapper.xml,但是逆向工程的缺陷在于只能针对单 ...
- AAAI 2020 | DIoU和CIoU:IoU在目标检测中的正确打开方式
论文提出了IoU-based的DIoU loss和CIoU loss,以及建议使用DIoU-NMS替换经典的NMS方法,充分地利用IoU的特性进行优化.并且方法能够简单地迁移到现有的算法中带来性能的提 ...
- 最简易 Pair of Topics解决方法
这个题花费了我两天的时间来解决,最终找到了两个比较简单的方法 首先这个题不难看出是寻找a[i]+a[j]<0的情况,我第一开始直接用两个for循环遍历通过不了,应该是复杂度太大了 第一个方法 # ...
- 计算几何-Minimum Area Rectangle II
2020-02-10 21:02:13 问题描述: 问题求解: 本题由于可以暴力求解,所以不是特别难,主要是用来熟悉计算几何的一些知识点的. public double minAreaFreeRect ...
- Activiti7流程定义
一.什么是流程定义 流程定义是线下bpmn2.0标椎去描述业务流程,通常使用activiti-explorer(web控制台)或 activiti-eclipse-designer 插件对业务流程进行 ...