security

最新推荐文章于 2024-07-22 04:12:24 发布
原创 最新推荐文章于 2024-07-22 04:12:24 发布 · 370 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#vue.js

前后端分离

一.创建前端页面

1.根据模版创建vue项目

2.配置vue

安装axios

安装element ui

安装 qs

配置main.js

import ElementUI from 'element-ui';
import 'element-ui/lib/theme-chalk/index.css';




Vue.use(ElementUI);
import axios from 'axios'
// 后端项目的时候  http://localhost:8848
// axios设置一个默认的路径 
 // 创建实例时配置默认值
 const instance = axios.create({
  // 访问路径的时候假的一个基础的路径
   baseURL: 'http://localhost:8848/'
 });
 // 起一个名字注册到vue 里面
 // Vue. prototype.名字 = axios
 
 Vue.prototype.$axios = instance;
 
 //响应拦截器
 instance.interceptors.response.use( response=> {
   // 状态码  500
   if(response.data.code==500){
        // 跳转到 login 组件里面
   // router.push({path:"/login"});
    
    return;
   }
 // 数据 直接返回给axios
      return response.data.t;
    }, error=> {
      // 超出 2xx 范围的状态码都会触发该函数。
      // 对响应错误做点什么
      return Promise.reject(error);
    });
 
 
  // 请求拦截器
  instance.interceptors.request.use( config=> {
    // config 前端  访问后端的时候  参数
 
    //config.headers['Authorization']="yyl"
      return config;
    }, error=> {
      // 超出 2xx 范围的状态码都会触发该函数。
      // 对响应错误做点什么
      return Promise.reject(error);
    });

3.创建页面

登录页面

<template>
<div class="login-container">
<el-form :model="ruleForm" status-icon :rules="rules" ref="ruleForm" label-width="100px" class="login-form">
<el-form-item label="用户名" prop="username">
<el-input type="text" v-model="ruleForm.username" autocomplete="off"></el-input>
</el-form-item>
<el-form-item label="确认密码" prop="password">
<el-input type="password" v-model="ruleForm.password" autocomplete="off"></el-input>
</el-form-item>
<el-form-item>
<el-button type="primary" @click="submitForm('ruleForm')">提交</el-button>
<el-button @click="resetForm('ruleForm')">重置</el-button>
</el-form-item>
</el-form>
</div>
</template>
<script>
export default {
data() {
var checkName = (rule, value, callback) => {
if (!value) {
return callback(new Error('名字不能为空'));
}else{
callback();
}
};
var validatePass = (rule, value, callback) => {
if (value === '') {
callback(new Error('请输入密码'));
} else {
callback();
}
};
return {
ruleForm: {
username: '',
password: '',
},
rules: {
password: [
{ validator: validatePass, trigger: 'blur' }
],
username: [
{ validator: checkName, trigger: 'blur' }
]
}
};
},
methods: {
submitForm(formName) {
this.$refs[formName].validate((valid) => {
if (valid) {
//alert('submit!');
this.$axios.post(`userlogin?uname=${this.ruleForm.username}&&pwd=${this.ruleForm.password}`)
.then((d)=>{
sessionStorage.setItem("token",d.data.t[0]);
sessionStorage.setItem("user",d.data.t[1]);
this.$router.push("/main")
});
} else {
// console.log('error submit!!');
return false;
}
});
},
resetForm(formName) {
this.$refs[formName].resetFields();
}
}
}
</script>
<style scoped>
.login-form {
width: 350px;
margin: 160px auto; /* 上下间距160px,左右自动居中*/
background-color: rgb(255, 255, 255,0.8); /* 透明背景色 */
padding: 30px;
border-radius: 20px; /* 圆角 */
}
/* 背景 */
.login-container {
position: absolute;
width: 100%;
height: 100%;
background: url("../assets/timg.png");
}
/* 标题 */
.login-title {
color: #303133;
text-align: center;
}
</style>

4.设置路由

引入qs

启动

npm run serve

访问页面

二.前端与后端Security结合

1.认证

登录认证成功

失败

2.登录跳转页面

1)创建main页面 配置路由

2)建立连接

登录访问

3.权限不允许

三.jwt

1.概念

什么是jwt

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

官网: JSON Web Token Introduction - jwt.io

jwt的结构

jwt是用来生成凭证信息的 分为三部分 Header Payload Signature

Header

Header 部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。

{

"alg": "HS256",

"typ": "JWT"

}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256 (写成 HS256) ;typ属性表示这个令牌(token)的类型(type), JWT令牌统一写为JWT。

最后,将上面的JSON对象使用Base64URL算法转成字符串。

Payload(载荷)

Payload 部分也是一个JSON对象,==用来存放实际需要传递的数据==。JWT规定了7个官方字段,供选用。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (lssued At):签发时间

jti (JWT ID):编号

除了官方字段,==你还可以在这个部分定义私有字段==,下面就是一个例子。

{

"sub": "1234567890",

"name" : "John Doe",

“userid”:2

"admin": true

}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把==秘密信息==放在这个部分。这个JSON 对象也要使用Base64URL 算法转成字符串。

Signature

Signature部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个==密钥(secret)==。这个密钥只有==服务器才知道==,不能泄露给用户。然后,使用Header里面指定的==签名算法(默认是 HMAC SHA256)==,按照下面的公式产生签名。

HMACSHA256(

base64UrlEncode(header) + ".”"+base64UrlEncode(payload),

secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

2.使用jwt生成token

1)添加依赖

   <dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.8.16</version>
</dependency>

2)修改配置文件

登陆成功

获取token 解码

第一部分和第二部分 并能没有加密  使用的是base64编码格式 通过网站 进行反编码就可以得出原来的数据

Base64 在线编码解码 | Base64 加密解密 - Base64.us

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

.eyJyZXNvdXJjZXMiOlsiUk9MRV9VU0VSIiwiU1oiLCJTWjIzIl0sInVzZXJuYW1lIjoienMifQ

.a4sbhLePMnH0AuYZz_OIOZPzxVosOe1u9hpv8ZHD87E

3.设置签发时间

获取token后解码

4.前端接收保存token

1)修改main.js

保存

5.解析token

1)创建解析文件

package com.example.filter;
import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import com.example.util.Result;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.commons.lang3.ArrayUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.List;
import java.util.stream.Collectors;
@Component
public class JwtFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 解析token
        /**
         * 1. 获取token
         *    有   解析
         *    没有  返回一个json(401,“”,null) 没有认证
         * 2. 有
         *    2.1  校验token  真的还是假的
         *         真
         *           2.1.1 过
         *           2.1.2 用户的信息 存放到安全框架的上下文的路径里面
         *
         *         假  返回一个json数据  没有认证
         */
        String[] whitename = {"/userlogin"};
        String token = request.getHeader("token");
        // token 不为空
        if(StringUtils.isNotBlank(token)){
            // 有   解析
            //
            boolean verify = JWTUtil.verify(token, "aaaaa".getBytes());
            if(verify){
                // 校验合格
                // 获取  用户名字   和密码的信息
                // token 的payload
                //                    map.put("username",authentication.getName());  // 认证成功之后  用户的名字
                //
                //                    map.put("resources",allresoures);
                JWT jwt = JWTUtil.parseToken(token);
                String username = (String) jwt.getPayload("username");
                List<String> resources = (List<String>) jwt.getPayload("resources");
                // 资源的信息
                List<SimpleGrantedAuthority> collect = resources.stream().map(s->new SimpleGrantedAuthority(s)).collect(Collectors.toList());
                //保存用户的信息
                UsernamePasswordAuthenticationToken usertoken = new UsernamePasswordAuthenticationToken(username, null, collect);
                // 存起来用户的信息
                SecurityContextHolder.getContext().setAuthentication(usertoken);
                // 放行
                filterChain.doFilter(request,response);
            }else{
                // 不合格
                Result result = new Result(401,"没有登录",null);
                printJsonData(response,result);
            }


        }else{
            // 查看是不是在白名单中   如果在  就放行  不在
            String requestURI = request.getRequestURI();
            if(ArrayUtils.contains(whitename,requestURI)){
                filterChain.doFilter(request,response);
            }else {
                // 为空
                Result result = new Result(401, "没有登录", null);
                printJsonData(response, result);
            }
        }


    }
    public void printJsonData(HttpServletResponse response,Result result) {
        try {
            response.setContentType("application/json;charset=utf8");  // json格式   编码是中文
            ObjectMapper objectMapper = new ObjectMapper();
            String s = objectMapper.writeValueAsString(result);// 使用ObjectMapper将result转化json为字符串
            PrintWriter writer = response.getWriter();
            writer.print(s);
            writer.flush();
            writer.close();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

访问页面

SecurityConfiguration文件

package com.example.config;
import cn.hutool.jwt.JWTPayload;
import cn.hutool.jwt.JWTUtil;
import com.example.util.Result;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.util.*;
import java.util.stream.Collectors;
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置 登录form 表单
        //  路径的前面 必须加/
        http.formLogin()
               // .loginPage("/login.html") // 登录的页面  localhost:8080/login.html
                .loginProcessingUrl("/userlogin")
                .successHandler((request, response, authentication) -> {
                    System.out.println("********"+authentication);
                    //资源
                    Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
                    List<String> allresoures = authorities.stream().map(s->s.getAuthority()).collect(Collectors.toList());
                    System.out.println(allresoures);


                    //认证成功    生成token
                    Map map = new HashMap<>();
                    map.put("username",authentication.getName());
                    map.put("resources",allresoures);
                    //设置token签发时间
                    Calendar instance = Calendar.getInstance();//获取当前时间
                    Date time = instance.getTime();
                    //设置过期时间   2小时后过期
                    instance.add(Calendar.HOUR,2);
                    Date time1 = instance.getTime();
                    map.put(JWTPayload.EXPIRES_AT,time1);
                    map.put(JWTPayload.ISSUED_AT,time);
                    map.put(JWTPayload.NOT_BEFORE,time);
                    String token = JWTUtil.createToken(map, "aaaaa".getBytes());
                    System.out.println(token);


                    Result result = new Result(200,"登录成功",token);
                    printJsonData(response,result);
                })
                .failureHandler((request, response, exception) -> {
                    // 认证失败
                    Result result = new Result(500,"登录失败",null);
                    printJsonData(response,result);
                })
         ;
        http.authorizeRequests().antMatchers("/userlogin","/").permitAll();// 代表放行 "/login.html","/userlogin","/"
//        http.authorizeRequests().antMatchers("/test").hasRole("ADMIN");
        http.authorizeRequests().anyRequest().authenticated();


        // 权限不允许的时候
        http.exceptionHandling().accessDeniedHandler((request, response, accessDeniedException) -> {
            Result result = new Result(403,"权限不允许",null);
            printJsonData(response,result);
        });
        //  csrf  方便html 文件  能够通过
        http.csrf().disable();
        http.cors();//跨域
    }


    @Resource
    private UserDetailsService userDetailsService;
    @Bean
    public PasswordEncoder getPassword(){
        return new BCryptPasswordEncoder();
    }
    // 自定义用户的信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(getPassword());
    }
    public void printJsonData(HttpServletResponse response, Result result) {
        try {
            response.setContentType("application/json;charset=utf8");  // json格式   编码是中文
            ObjectMapper objectMapper = new ObjectMapper();
            String s = objectMapper.writeValueAsString(result);// 使用ObjectMapper将result转化json为字符串
            PrintWriter writer = response.getWriter();
            writer.print(s);
            writer.flush();
            writer.close();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}
小Q学代码
关注
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
HCIE-Security V3.0 培训文档及实验手册.zip
最新发布
06-05
HCIE-Security V3.0 培训文档 HCIE-Security V3.0 实验手册
vue +security 前后段分离权限管理小demo
weixin_44540130的博客
06-01 846
security+ vue 实现前后端分离权限 演示视频链接: https://gulibuckets.oss-cn-shenzhen.aliyuncs.com/Action 2021-6-1 20-46-34.mp4?versionId=CAEQIxiBgICG8ceezhciIGYwOGFhNDRjYmJmZDQ3M2ZhNWNkODkxMWFjMmYwMjY3 gitee demo 地址 : https://gitee.com/wx_c3b99916a9/vue_security/tree/css/
Vue+Security+Springboot前后端交互
weixin_68620988的博客
06-21 1088
这时候vue项目中就可以跨域访问路径了,这里的200状态就是security配置文件中返回的状态,如果认证成功就返回200,这里判断如果后端认证成功了,就在这里thi.$router.push()跳转页面,这是一个登录的操作,说白了就是后端拿到的账号密码查询成功就返回200状态码,我这里query:{list:authorlist}是将传过来的用户所拥有的资源通过路径返回了出去给其他页面。4:调用userMapper的selectRole方法查询该员工对应的角色信息,并返回一个Role对象的List。
前后端完全分离模式vue+security+jwt
lalaalalu的博客
12-29 607
在初次接触java的web开发时对整个框架都不太了解,这里提供一下比较流行的前后端完全分离的开发模式vue\security和jwt如何集成的问题(太多朋友发的解决办法security的config配置都涉及到自己定制登录页面提交请求,这样的话后端代码必然需要一个登录页面比如login.html或者login.vue,那大部分都是视屏讲课老师在授课时为了方便定制前端页面,而且在认证后会自动有个跳转页面真正在前后端分离时后端并没有前端的页面,仅仅提供接口返回数据) 在集成到项目时主要有几个重要的步骤: 第一步
Vue与SpringSecurity认证整合-06
m0_74353020的博客
06-20 987
首先先需要一个Vue的登录页面,这里随便使用一个form能传输数据就可以,而我们后端也是一样的,准备一个springsecurity的一个工作,这里我们以前是做过的,可以看我springboot的专栏,我们前端和后端是有同源策略的,我们上节也讲过,但是我们的登录处理路径是不存在的,在springsecurity内部。,这里我们使用的一个插件 qs,我们可以通过npm i qs来下载,他可以将我们的数据,以字符串拼接的方式拼接到路径后面,我们点击提交的话,后端是会给前端响应一个页面的。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
HCIP-Security V4.0 培训教材PPT
01-03
01 网络安全认证概述.pptx 02 防火墙高可靠性技术.pptx 03 防火墙流量管理.pptx 04 防火墙虚拟系统.pptx 05 防火墙智能选路.pptx 06 IPSec VPN技术应用.pptx ... HCIP-Security V4.0 实验手册.pdf
精选资源
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
securitysecuritysecurity
08-27
securitysecuritysecurity
SpringBoot+Vue+Security旧系统改造OAuth2统一认证方案
佚名的博客
11-10 1656
旧系统单点改造
前后端分离SpringSecurity+vue.js
fashion_h的博客
09-20 336
配置代码 最近笔者在学SpringSecurityvue.js, 本篇文章仅是记录前后端分离方式的SpringSecurity登录的代码, 发在这里的原因是也许能帮助到小伙伴们。 vue.config.js //端口转发 let proxyObj = {}; const CompressionPlugin = require("compression-webpack-plugin"); //WebSocket请求转发 proxyObj['/ws'] = { ws: true, targe
VUE 代理设置
qq_17627195的博客
11-27 3463
说明:这里的vue代理是指用vue静态服务器做代理。使用的是 http-proxy-middleware 这个模块(这个模块相当于是node.js的一个插件)。 版本: vue-cli 3.0以上 修改文件位置:根目录下的vue.config.js 代码: devServer: { proxy: { '/api': { target: 'http://192.168.123.123:8080', // 后台接口地址 ws: true,
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
Vue项目和小程序使用HmacSHA256、md5加密
l1002670137的博客
08-27 2038
VUE和小程序使用HmacSHA256加密
vue之代理配置devServer(vue.config.js)片段
小芳的专栏
12-13 1906
devServer:{ open:process.platform==='darwin', host:'0.0.0.0', port:8080, before:app=>{}, //配置vue代理进行跨域 proxy:{//接口配置代理,解决本地调用跨域 '/proxy':{ target:'http://172.16.39.40:6067/lmH/tWlmVue/',//生产...
vue使用HMAC-SHA256签名算法
weixin_68658847的博客
07-05 1609
vue使用HMAC-SHA256签名算法
超级详细的Vue安装与配置教程
热门推荐
dd2016124的博客
10-26 3万+
vue安装,npm,node的安装与配置
JWT在vue前端中的使用
qq_42465381的博客
07-22 224
是一种用于在Web应用程序之间安全传输信息的开放标准(RFC 7519)。它是一种基于。
Spring Security基础实例详解
Spring Security是一个功能强大且可高度定制的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。由于其灵活性和安全性,Spring Security常被用于Web应用程序中,以确保安全功能如认证(身份...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值