前后台分离登录认证

最新推荐文章于 2025-03-21 19:48:13 发布
原创 最新推荐文章于 2025-03-21 19:48:13 发布 · 1.5k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #spring boot

用户认证问题,分为首次登陆,和二次认证。

  • 首次登录认证:用户名、密码和验证码完成登录

  • 二次 token 认证:请求头携带 Jwt 进行身份认证

一、前后台分离登录校验流程

流程:

  1. 前端携带用户名,密码访问登录接口
  2. 后端查询数据库,验证是否登录成功。如果正确,生成一个token
  3. 后端把token响应给前端
  4. 前端登录之后的访问请求接口,需要在请求头中携带token
  5. 后端获取请求头token,进行解析,获取UserId,根据Userd获取用户相关信息,如果有权限,则允许访问相关资源访问目标资源,响应给前端

二、SpringSecurity的认证流程

本质

SpringSecurity采用的是责任链设计模式, 本质是一个过滤器链。

责任链模式

  • 责任链模式(Chain of Responsibility Pattern)为请求创建了一个接收者对象的链。

  • 在这种模式中,通常每个接收者都包含对另一个接收者的引用,而连接起来形成一条链。

  • 请求在这个链上传递,直到链上的某一个对象决定处理此请求。

  • 如果一个对象不能处理该请求,那么它会把相同的请求传给下一个接收者,依此类推。

核心

SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。

图中只展示了核心过滤器,其它的非核心过滤器并没有在图中展示:

  • UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。
  • ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。
  • FilterSecurityInterceptor:负责权限校验的过滤器。我们可以通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。

我们也可以通过debug,查看SpringSecurity的过滤器链:

在我们的启动类添加对应的断点

在引入Spring Security依赖之后开发者不做任何配置时Spring Security会为我们加载一部分过滤器:

  • SecurityContextPersistenceFilter:在请求处理之前将安全信息加载到SecurityContextHolder中方便后续使用。请求结束后,在擦除SecurityContextHolder中的信息。

  • CsrfFilter:处理CSRF攻击

  • LogoutFilter:处理注销登录

  • UsernamePasswordAuthenticationFilter :处理填写了用户名密码的登陆请求——从表单中获取用户名密码,并进行身份验证。

  • DefaultLoginPageGeneratingFilter:配置默认登录页面

  • DefaultLogoutPageGeneratingFilter:配置默认注销页面

  • BasicAuthenticationFilter:处理HttpBasic登录

  • ExceptionTranslationFilter :异常过滤器,捕获过滤器链抛出的异常并进行处理,主要处理AccessDeniedException 和AuthenticationException 异常。

  • FilterSecurityInterceptor:根据资源权限配置来判断当前请求是否有权限访问对应的资源,如果访问受限会抛出相关异常,并由ExceptionTranslationFilter 过滤器进行捕获和处理。是过滤器链的最后一个过滤器,是过滤器链的出口。

认证流程详解

  • Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
  • AuthenticationManager接口:定义了认证Authentication的方法
  • UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
  • UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

修改为自定义认证流程

思路分析

登录:

  1. 自定义登录接口

  2. 调用ProviderManager的authenticate()方法进行认证,如果认证通过,则生成JWT

  3. 把用户信息存入redis中

  4. 自定义UserDetailsService接口实现类

  5. 我们在这个实现类查询数据库

校验:

  1. 定义JWT认证过滤器

  2. 获取token

  3. 解析token获取其中的uuid

  4. 从redis中获取用户信息

  5. 存入SecurityContextHolder

总结

从基本认证流程中不难看出,我们可以重写或者替换UsernamePasswordAuthenticationFilter过滤器,用以添加我们需要的业务处理逻辑,并且可以实现UserDetailsService接口,加入Spring Data JPA或者Mybatis用来访问数据库中的用户信息

Supreme13
关注
使用Laravel实现前后台分离登录认证
YxmtAi的博客
09-19 618
通过使用JWT令牌和Laravel的内置认证功能,我们可以实现安全且可扩展的用户认证机制。在这个示例中,我们将使用Laravel来处理用户的登录认证过程,并使用JSON Web Token(JWT)来管理用户的身份验证。在这篇文章中,我将向你展示如何使用Laravel框架实现前后台分离登录认证功能。接下来,我们需要在前端中编写代码来处理用户的登录和注册请求,并在登录成功后保存JWT令牌。在登录成功后,我们可以将返回的JWT令牌保存到本地存储或Cookie中,以便后续的请求可以使用该令牌进行身份验证
Laravel8.* 实现前后台分离登陆认证
瑾的日常
06-16 2192
1.启用Laravel认证 Laravel 的 laravel/ui 包提供了一种快速认证方法,可以使用一些简单的命令来支持你进行身份验证所需的所有路由和视图: composer require laravel/ui php artisan ui vue --auth 这个命令应该在新应用程序上使用,并将安装布局视图,注册和登录视图以及所有身份验证端点的路由。 还将生成一个 HomeController 来处理应用程序仪表板的登录后请求。 2.创建Admin模型 php artisan...
前后端分离开发登录
m0_62404386的博客
08-09 1093
前后端分离开发登录
前后端分离jwt登录验证
我的博客
08-07 866
前后端分离jwt登录验证 (vue + springboot) 方案 第一次登录后,前端j将后端返回的token保存在localStorage中 以后每次前端访问后端接口时,都从localStorage中取出token加入请求header的Authorization字段 后端建立拦截器,拦截每个请求的header中的Authorization字段值,即token,校验token是否过期,如果过期返回响应码401,否则放行 前端建立全局响应拦截器,如果拦截到接口请求响应码是401,就跳转到登录页面 log
前后端分离项目之登录页面(前后端请求、响应和连接数据库)
weixin_63541561的博客
06-03 3688
目录一、前端登录发起请求二、后端请求接收三、连接数据库四、后端响应五、前端处理六、在前端验证用户是否登录七、web会话跟踪八、请求拦截器和响应拦截器. web会话跟踪:http是无状态的,登录完成后客户端与服务器断开了连接,之后再向后端发送请求,后端就不知道是哪个客户端发送的。
前后端分离项目springsecurity实现用户登录认证快速使用
m0_71751187的博客
03-20 2623
ps:该文章适合未系统学习springsecurity快速使用,可以直接cv使用,只有部分源码讲解,个人觉得先会用了再深究原理。
前后端分离登录
m0_51279688的博客
11-16 4167
1.http无协议 因为HTTP是无状态的协议,也就是说,这个协议是无法记录用户访问状态的,其每次请求都是独立的无关联的,一笔是一笔。而我们的网站都是设计成多个页面的,所在页面跳转过程中我们需要知道用户的状态,尤其是用户登录的状态,这样我们在页面跳转后我们才知道是否可以让用户有权限来操作一些功能或是查看一些数据。 所以,我们每个页面都需要对用户的身份进行认证。为了实现这一功能,用得最多的技术就是浏览器的cookie,我们会把用户登录的信息存放在客户端的cookie里,这样,我们每个页面都从这个cookie里
SpringSecurity——前后端分离登录认证
最新发布
gege_0606的博客
03-21 1344
Spring Security 中,退出操作(logout)的设计逻辑与登录有所不同。登录过程涉及用户凭证验证、状态检查和密码匹配等环节,这些都有可能失败,所以需要提供失败处理器(如登录失败处理器)。前后端分离:Nginx 【Vue】 <----jwt----> Tomcat 【 (controller、sucurity) 】三个里面有任何一个不同,都是跨域,跨域是浏览器不允许的,浏览器是为了安全,不允许你跨域访问。从数据库中加载用户信息,返回一个包含用户状态和权限信息的。service实现类。
vue开发的项目后台管理系统采用vue-admin开发,前后台分离,jwt登录认证.zip
10-21
在这个项目中,JWT用于登录认证,当用户成功登录后,服务器会返回一个JWT,客户端将其存储在本地(通常是Cookie或LocalStorage)。每次请求受保护的资源时,客户端都会将这个JWT发送到服务器,服务器验证其有效性,...
vue开发的项目后台管理系统 采用vue-admin 开发,前后台分离,jwt登录认证.zip
08-19
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
前后端分离JWT登录认证
qingfan_714的博客
08-30 1064
详细的jwt登录认证,以及常用的前后端分离工具类
web前后端分离的用户认证系统
Misaki_ymy的博客
12-24 1645
这个项目的目标是实现一个典型的前后端分离的用户登录功能。前端通过 HTTP 请求与后端交互,后端使用进行用户身份验证,并利用Redis进行登录状态的缓存和会话管理。项目使用了基于表单的身份验证(也可以扩展为使用 JWT 或其他形式的 Token 验证)以及 Redis 缓存用户登录信息。@Service@Autowired@Override用于身份验证,保证了登录过程的安全性。Redis用于缓存用户信息,提高性能,减少数据库查询次数。前后端分离
前后端分离---前后端身份验证(session和jwt)
前端与计算机相关知识的分享,博主的qq523235674
03-07 8907
一.web开发模式 目前主流的Web开发模式有两种,分别是: ①基于服务端渲染的传统Web开发模式 ②基于前后端分离的新型Web开发模式 1.服务器端渲染的Web开发模式 服务端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: 2.服务器端渲染的优缺点 ①优点: 前端耗时少。因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即可。尤其是移动端,更省电。 有利于
jwt的基本使用
繁华落烬命入戏
12-22 595
文章目录介绍用途解决跨域访问的问题原理JWT 的数据结构JWT基本使用 介绍 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点是无法作废已颁布的令牌/不易应对数据过期。 用途 解决跨...
前后端分离下如何登录
weixin_34273479的博客
08-19 584
1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断该用户是否有权限继续这个请求。这个过程...
前后端分离之JWT用户认证
xmt1139057136的专栏
01-06 684
前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资...
前后端分离常用的认证方式
m0_59708021的博客
06-28 1222
前后端分离常用的认证方式 前后端分离前后端的交互是通过 API 进行的,那么其中的认证是少不了的。前后端分离中常用的认证方式有下面几种: Session-Cookie Token 验证 OAuth(开放授权) Session-Cookie 方式 Session-Cookie 方式是我们开发 web 应用时最常用的认证方式。它的认证过程一般是这样的: 1/ 用户浏览器向服务器发起认证请求,将用户名和密码发送给服务器。 2/ 服务器认证用户名和密码,若通过则创建一个 session 对话,并
实现前后端分离的登陆验证token思路
qq_40895460的博客
11-27 1835
实现前后端分离的登陆验证token思路
Yii框架前后台分离示例解析
6. **用户认证和授权(Auth & Authz)**:Yii框架内置了用户认证和授权机制,这对于前后台分离的Web应用尤为重要。用户认证可以保护后台API,只允许合法用户访问。用户授权则确保了用户只能访问他们被授权的资源。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值