前後端分離之Springboot後端

阿新 • • 發佈：2019-01-31

這是上一篇部落格前後端分離之Java後端的重寫.
原始碼
前後端分離的後端主要解決的就2個問題 : 跨域訪問(CORS)和token校驗,下面快速說明.

1.專案環境

使用Intellij IDE.
專案結構:

2.跨域訪問

解決跨域很簡單,翻一下官方文件很容易解決,我們就使用全域性的通過註解實現的方式:

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //允許全部請求跨域 

        registry.addMapping("/**");
    }
}

3.Token驗證

這節分為2個部分,一是原理,二是程式碼實現.

3.1 原理

在第一篇文章裡,我是這樣說的:

在使用者第一次登入成功後，服務端返回一個token回來，這個token是根據userId進行加密的，金鑰只有伺服器知道，然後瀏覽器每次請求都把這個token放在Header裡請求，這樣伺服器只需進行簡單的解密就知道是哪個使用者了。

3.2 程式碼實現

避免重複造輪子,我們依然使用JWT,這個標準在2015年提出,檢視RFC文件,它的一個實現JJWT

        <!-- JJWT --> 

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

我們要做的很簡單 :登入時生成Token,攔截每次請求檢查token.

3.2.1 生成Token與驗證

詳情檢視程式碼註釋

public class JwtUtil 
 {
    final static String base64EncodedSecretKey = "base64EncodedSecretKey";//私鑰
    final static long TOKEN_EXP = 1000 * 60;//過期時間,測試使用60秒

    public static String getToken(String userName) {
        return Jwts.builder()
                .setSubject(userName)
                .claim("roles", "user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + TOKEN_EXP)) /*過期時間*/
                .signWith(SignatureAlgorithm.HS256, base64EncodedSecretKey)
                .compact();
    }

    /**
     * @Date:17-12-12 下午6:21
     * @Author:root
     * @Desc:檢查token,只要不正確就會丟擲異常
     **/
    public static void checkToken(String token) throws ServletException {
        try {
            final Claims claims = Jwts.parser().setSigningKey(base64EncodedSecretKey).parseClaimsJws(token).getBody();
        } catch (ExpiredJwtException e1) {
            throw new ServletException("token expired");
        } catch (Exception e) {
            throw new ServletException("other token exception");
        }
    }
}

3.2.2 攔截token

在spring裡很好實現全域性攔截,過濾器,攔截器,AOP都可以實現.
因為filter是對資源過濾,我們這裡沒有資源了,只有URL,而AOP著重處理過程.綜合考慮,這裡選擇攔截器比較合適.
我們的攔截器:先檢查header,取出token,驗證.

public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authHeader = request.getHeader("Authorization");
        if (authHeader == null || !authHeader.startsWith("Bearer ")) {
            throw new ServletException("invalid Authorization header");
        }
        //取得token
        String token = authHeader.substring(7);
        try {
            JwtUtil.checkToken(token);
            return true;
        } catch (Exception e) {
            throw new ServletException(e.getMessage());
        }
    }
}

註冊攔截器:將登入排除

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //允許全部請求跨域
        registry.addMapping("/**");
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //新增攔截器
        registry.addInterceptor(new JwtInterceptor()).excludePathPatterns("/user/login");
    }
}

全域性異常處理:

@RestControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler(Exception.class)
    public String handleException(Exception e) {
        return "err:" + e.getMessage();
    }
}

登入:

    @PostMapping("/login")
    public String login(User user) throws ServletException {
        String name = user.getUsername();
        String pass = user.getPassword();
        if (!"admin".equals(name)) {
            throw new ServletException("no such user");
        }
        if (!"1234".equals(pass)) {
            throw new ServletException("wrong password");
        }
        return JwtUtil.getToken(name);
    }

其他根據需要可以檢視原始碼.

當然,整個系統我沒有使用RESTful的統一API,可以自定義一個類去處理,這裡不重要.

4.如何請求

將得到的token封裝在header裡,如下:

這種請求放在Axios這樣的請求框架很好實現,特別是在React或Vue裡.

前後端分離之Springboot後端

這是上一篇部落格前後端分離之Java後端的重寫. 原始碼前後端分離的後端主要解決的就2個問題 : 跨域訪問(CORS)和token校驗,下面快速說明. 1.專案環境使用Intellij IDE. 專案結構: 2.跨域訪問解決跨域很簡單,翻

前後端分離之Java後端

前後端分離的思想由來已久，不妨嘗試一下，從上手開始，先把程式碼寫出來再究細節。程式碼下載：https://github.com/jimolonely/AuthServer 前言以前服務端為什麼能識別使用者呢？對，是session，每個session都存在服務端，瀏覽器每次請求都帶著ses

前後端分離之_後端_分類導航功能_就是_三級分類，表是無限極的設計

需求： 1. 資料庫設計原則：無限極分類 2，介面 3,實現 3.1 pojo 3.2, dao 我用的是mybatis 3.3,service 用的example多條件查詢 public List<Categ

前後端分離之SpringBoot專案Token認證

寫在開始有人說，愛上一座城，是因為城中住著某個喜歡的人。其實不然，愛上一座城，也許是為城裡的一道生動風景，為一段青梅往事，為一座熟悉老宅。或許，僅僅為的只是這座城。就像愛上一個人，有時候不需要任何理由，沒有前因，無關風月，只是愛了。 —林徽因前段時間，大體

從壹開始前後端分離【 .NET Core2.0 +Vue2.0 】框架之二 || 後端專案搭建

WHY 至於為什麼要搭建.Net Core 平臺，這個網上的解釋以及鋪天蓋地，想了想，還是感覺重要的一點，跨平臺，嗯！沒錯，而且比.Net 更容易搭建，速度也更快，所有的包均有Nuget提供，不再像以前的單純引入元件，比如是這樣的：

springboot前後端分離之跨域

springmvc有多種處理跨域的方法，介紹最簡單的一種： @Configuration public class WebMvcConfig extends WebMvcConfigurerAdapter { @Override public void addCors

前後端分離之mockjs基本介紹

body pos mock 響應 func 正則 str 整數 fun 安裝與使用 # 安裝 npm install mockjs #使用 Mock var Mock = require(‘mockjs‘) var data = Mock.mock({ // 屬性

前後端分離之VueJS前端

程式碼：https://github.com/jimolonely/vue-jwt-demo 前言前端用什麼框架都可以，這裡選擇小巧的vuejs。要實現的功能很簡單： 1、登入功能，成功將伺服器返回的token存在本地 2、使用帶token的header訪問伺服器

[django]前後端分離之JWT使用者認證

在前後端分離開發時為什麼需要使用者認證呢？原因是由於HTTP協定是不儲存狀態的(stateless)，這意味著當我們透過帳號密碼驗證一個使用者時，當下一個request請求時它就把剛剛的資料忘了。於是我們的程式就不知道誰是誰，就要再驗證一次。所以為了保證系統安全，我們就需要驗證使用者否處於登入狀態。傳統方

前後端分離之介面定義滯後帶來的問題

前言：目前正參與我司一個後臺管理型專案，我司採取的是前後端分離開發，後端採用dubbo框架提供介面，前端整合egg.js和dubbo.js；各司其職，我和一道友專門負責前端伺服器整個模組，伺服器搭建探索過程費了點時間（也不太多），然後就前端頁面的排期，給我的模組排了

Django前後端分離之域名配置

編輯檔案 sudo vim /etc/hosts 將兩個域名新增到檔案中 127.0.0.1 api.xxxx.site 127.0.0.1 www.xxxx2.site 前端xxxx/js目錄中，建立host.js檔案用以為前端儲存後端域名 var h

在前後端分離的SpringBoot專案中整合Shiro許可權框架

出自目錄專案背景解決方案參考文章專案背景公司在幾年前就採用了前後端分離的開發模式，前端所有請求都使用ajax。這樣的專案結構在與CAS單點登入等許可權管理框架整合時遇到了很多問題，使得許可權部分的程式碼冗長醜陋，CAS的各種重定向也使得使

基於小程式開發的前後端分離之登入狀態

公司接了一個小程式的活。本來後臺想用的是session儲存登入狀態。後來發現登入存進去的sessionId和取時候的sessionId不一樣，匯入無法取到登入狀態，百度了一下才知道，原來是小程式端不支援儲存cookie，後來想到了在微信登入授權後，把openId加密（token），當做key，ope