服务器怎么放网站吗,深圳网站建设网络推广,建站 网站程序有哪些,河南郑州app建设网站一#xff1a;JWT是什么#xff1f;
常用鉴权方式有很多种#xff0c;今天主要介绍基于token的鉴权方式JWT#xff08;Json JSON Web Token#xff09;。因为这种方式实现起来方便快捷。整体实现逻辑如下
第一次登陆时#xff0c;前端携带账号和密码请求登录接口。服务…一JWT是什么
常用鉴权方式有很多种今天主要介绍基于token的鉴权方式JWTJson JSON Web Token。因为这种方式实现起来方便快捷。整体实现逻辑如下
第一次登陆时前端携带账号和密码请求登录接口。服务端在验证登录通过后将用户信息加密为一个token字符串返给前端。前端将token存在localstorage中。
在一般的业务请求中前端从localstorage中取出并携带token。服务端接收到token后解密验证其时效性及合法性如果token通过则正常返回数据不通过则返回异常。 二前端注意点
按照惯例前端请求接口时携带token发送。token建议放在header中命名为Authorization。尽量避免将token与一般入参一块放在body中这样更加规范。
var config {headers: {Authorization: Token // 将 Token 放入 Authorization Header 中}};var PostData Object.assign({}, Para[RequestData]);axios.post(Para[Url], PostData,config).then(function (response) {})
然后在封装的异步请求方法中直接携带token。即可完成集中处理一劳永逸
Vue.prototype.SQAjax function (Para) {var that this;let AjaxLoading Loading.service({ background: rgba(0,0,0,0.5),lock: true,text: 加载中,spinner: el-icon-loading,fullscreen: true});var Token localStorage.getItem(sqBlogToken) ? localStorage.getItem(sqBlogToken) : ;if (!Token) {AjaxLoading.close(); // 中断代码前注意关闭loadingthis.$router.push({ name: LoginPage });return false;}// 设置请求头var config {headers: {Authorization: Token // 将 Token 放入 Authorization Header 中}};var PostData Object.assign({}, Para[RequestData]);axios.post(Para[Url], PostData,config).then(function (response) {AjaxLoading.close();if (response.data.statusCode 200) {Para[Success](response.data.data);} else if (response.data.status 1) { that.$message({message: response.data.data.message,type: success});that.$router.push({name: LoginPage,});} else { // 返参异常的场景处理that.$message({message: response.data.data.message,type: error,duration: 900});}}).catch(function (error) { // 接口不通的场景处理AjaxLoading.close();that.$message({message: 接口不通,type: error,duration: 900});});} 三服务端工作
1、处理token的公共类
Java中使用jjwt的原生方法即可以轻松搞定加密解密。先注入依赖然后创建一个JwtUtil.java当作公共文件备用。
其中需要注意密钥的保存如果代码开源可将密钥放在配置文件中且保障该配置文件不开源。
// pom依赖注入
dependencygroupIdio.jsonwebtoken/groupIdartifactIdjjwt/artifactIdversion0.9.1/version
/dependency
public class JwtUtil {private static final String SECRET_KEY your_secret_key;// 生成 Tokenpublic static String generateToken(User user) {return Jwts.builder().setSubject(user.getName()).claim(id, user.getId()).setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() 3600000)) // 1 hour expiration.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();}// 验证 Tokenpublic static Claims validateToken(String token) throws Exception {try {return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();} catch (ExpiredJwtException e) {throw new Exception(Token 已过期, e);} catch (UnsupportedJwtException e) {throw new Exception(Token 格式不支持, e);} catch (MalformedJwtException e) {throw new Exception(Token 无效, e);} catch (SignatureException e) {throw new Exception(Token 签名无效, e);} catch (IllegalArgumentException e) {throw new Exception(Token 参数无效, e);}}
}2、验证token
如果开发管理后台除了登录/注册操作其他接口基本都需要鉴权。此种场景每个controller都鉴权一次过于繁琐。可使用拦截器做到统一处理。
如下为配置拦截器可将登录注册等不需要token验证的接口加入白名单。
Configuration
public class WebConfig implements WebMvcConfigurer {Autowiredprivate JwtInterceptor jwtInterceptor;Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(jwtInterceptor).addPathPatterns(/**) // 拦截所有请求.excludePathPatterns(/login, /register); // 排除登录和注册接口}
}
如下为拦截器具体代码
Component
public class JwtInterceptor implements HandlerInterceptor {Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String token request.getHeader(Authorization);if (token null || token.isEmpty()) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);response.getWriter().write(Token is missing);return false;}try {JwtUtil.validateToken(token);} catch (Exception e) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);response.getWriter().write(Invalid token: e.getMessage());return false;}return true;}
}
3、生成token
关于需要生成token的接口其实只有登录接口一个地方。其余接口都是验证token
可在校验登录成功后将用户信息及token一并返回前端。
String token jwtUtil.generateToken(userInfo);
UserAuthResponse userAuthResponse new UserAuthResponse(token, userInfo);
return ApiResponse.success(userAuthResponse);
