前后端分离之SpringBoot项目Token认证

写在开始

有人说,爱上一座城,是因为城中住着某个喜欢的人。其实不然,爱上一座城,也许是为城里的一道生动风景,为一段青梅往事,为一座熟悉老宅。或许,仅仅为的只是这座城。就像爱上一个人,有时候不需要任何理由,没有前因,无关风月,只是爱了。 —林徽因

前段时间,大体了解了一下前后端分离之Vue项目构建测试打包发布,并简单的记录了一下。

其实,如果单纯的前后端分离项目,大可不必使用Token,原始的session就可以解决问题,当然前提是要在一个域(域名、IP、端口必须保持一致)下,前后端开发人员可使用Nginx代理服务器进行测试。

但是在微服务的大环境下,某些原因服务的细化可能不会在一个域下,这时候就需要客户端自己保存加密凭证,后台只需要做简单的解密认证。

准备环境

既然微服务这么流行,这里我们还是选择SpringBoot作为测试案例,使用JWT(Json Web Token)的授权方式。

项目涉及:

  • SpringBoot的使用
  • JWT加密解密
  • Cors跨域访问配置
  • Interceptor拦截器配置

代码什么的就不在这里罗列了,详细见:前后端分离微服务认证之JWT

总结

优点

  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
  • 不需要在服务端保存会话信息,特别适用于分布式微服务。

注意事项

  • 切记保护好密钥,这个是最基本的。
  • 如果有条件,尽量使用https安全协议。
  • Token信息尽可能的少,只保存必须的就可以。
  • 退出操作一定要考虑好,如果Token被盗用,一定要做好服务端的校验。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑泽君的专栏

day51_BOS项目_03

将上面的js文件引入所需要的jsp页面中,本例以index.jsp为例 /bos19/WebContent/WEB-INF/pages/common/inde...

741
来自专栏FreeBuf

免费主题暗藏后门,波及WordPress等知名CMS系统

最近美国安全研究者爆料,针对CMS(内容管理系统)网站的数千种插件和主题被植入了名为CryptoPHP的后门,这可能导致大量的Web服务器被攻击者据为己有。 隐...

2376
来自专栏魏艾斯博客www.vpsss.net

解决 Winscp 不显示隐藏文件的办法

1062
来自专栏区块链入门

第5课 EOS环境搭建入门(私链节点-钱包-密钥-账号)

【本文目标】 通过本文实践,能在已编译的EOS V1.0.5版本环境上,完成私链节点启动,钱包创建,密钥导入和账号创建等内容。 【前置条件】 你已完成了E...

3803
来自专栏FreeBuf

在你的内网中获得域管理员权限的五种方法

早在2013年9月,蜘蛛实验室( Spider Labs)就发表过一篇题为“SpiderLabs在你内网中获取域管的五大方式”的文章。这篇文章是我继该文的,应该...

2045
来自专栏FreeBuf

解码Gh0st RAT变种中的网络数据

在今年3月份的一次取证调查中,我们找回了一些文件。经过我们初步的判定,这些文件极有可能与一个知名组织Iron Tiger有关。

1353
来自专栏一个爱瞎折腾的程序猿

metools,个人工具站点分享

我想要一个自己的工具站~一个不会说挂就挂的网站~ 然后~~ 卧槽。一不小心就折腾了出来,此处应有链接 http://tools.yimo.link/

1161
来自专栏晓晨的专栏

ASP.NET Core 2.0 使用支付宝PC网站支付

2602
来自专栏Thinks

你的第一个渐进式网站应用(5)

渐进式网站应用会很快启动并马上可用。在目前的状态中(step-04),我们的天气app启动很快,但是不可用。因为还木有数据。 我们要使用一个AJAX请求去获取数...

793
来自专栏安恒信息

当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!

最近,我们关注到一起APT攻击事件,攻击者通过钓鱼邮件的方式投递含有恶意代码的附件,此附件包含一个名叫“Kaskitya”的木马。

1062

扫码关注云+社区