java 是一种可以撰写跨平台应用软件的面向对象的程序设计语言,是由 Sun Microsystems 公司于 1995 年 5 月推出的 Java 程序设计语言和 Java 平台(即 JavaEE(j2ee), JavaME(j2me), JavaSE(j2se))的总称。
这篇文章主要介绍了详解前后端分离之 Java 后端,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
前后端分离的思想由来已久,不妨尝试一下,从上手开始,先把代码写出来再究细节。
代码下载: https://github.com/jimolonely/AuthServer
前言以前服务端为什么能识别用户呢?对,是 session,每个 session 都存在服务端,浏览器每次请求都带着 sessionId(就是一个字符串),于是服务器根据这个 sessionId 就知道是哪个用户了。
那么问题来了,用户很多时,服务器压力很大,如果采用分布式存储 session,又可能会出现不同步问题,那么前后端分离就很好的解决了这个问题。
前后端分离思想:
在用户第一次登录成功后,服务端返回一个 token 回来,这个 token 是根据 userId 进行加密的,密钥只有服务器知道,然后浏览器每次请求都把这个 token 放在 Header 里请求,这样服务器只需进行简单的解密就知道是哪个用户了。这样服务器就能专心处理业务,用户多了就加机器。当然,如果非要讨论安全性,那又有说不完的话题了。
下面通过 SpringBoot 框架搭建一个后台,进行 token 构建。
构建 springboot 项目我的目录结构:(结果未按标准书写,仅作说明)
不管用什么 IDE,最后我们只看 pom.xml 里的依赖:
为了尽可能简单,就不连数据库了,登陆时用固定的。
devtools:用于修改代码后自动重启;
jjwt:加密这么麻烦的事情可以用现成的,查看 https://github.com/jwtk/jjwt
登录
- <parent>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-parent</artifactId>
- <version>1.5.2.RELEASE</version>
- <relativePath /> <!-- lookup parent from repository -->
- </parent>
- <properties>
- <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
- <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
- <java.version>1.8</java.version>
- </properties>
- <dependencies>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-web</artifactId>
- </dependency>
- <!-- JJWT -->
- <dependency>
- <groupId>io.jsonwebtoken</groupId>
- <artifactId>jjwt</artifactId>
- <version>0.6.0</version>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-devtools</artifactId>
- <optional>true</optional>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-test</artifactId>
- <scope>test</scope>
- </dependency>
- </dependencies>
这里的加密密钥是:base64EncodedSecretKey
测试 token
- import java.util.Date;
- import javax.servlet.ServletException;
- import org.springframework.web.bind.annotation.PostMapping;
- import org.springframework.web.bind.annotation.RequestBody;
- import org.springframework.web.bind.annotation.RequestMapping;
- import org.springframework.web.bind.annotation.RequestParam;
- import org.springframework.web.bind.annotation.RestController;
- import io.jsonwebtoken.Jwts;
- import io.jsonwebtoken.SignatureAlgorithm;
- @RestController
- @RequestMapping("/")
- public class HomeController {
- @PostMapping("/login")
- public String login(@RequestParam("username") String name, @RequestParam("password") String pass)
- throws ServletException {
- String token = "";
- if (!"admin".equals(name)) {
- throw new ServletException("找不到该用户");
- }
- if (!"1234".equals(pass)) {
- throw new ServletException("密码错误");
- }
- token = Jwts.builder().setSubject(name).claim("roles", "user").setIssuedAt(new Date())
- .signWith(SignatureAlgorithm.HS256, "base64EncodedSecretKey").compact();
- return token;
- }
- }
现在就可以测试生成的 token 了,我们采用 postman:
过滤器这肯定是必须的呀,当然,也可以用 AOP。
过滤要保护的 url,同时在过滤器里进行 token 验证
token 验证:
- public class JwtFilter extends GenericFilterBean {@Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
- ServletException {
- HttpServletRequest request = (HttpServletRequest) req;
- HttpServletResponse response = (HttpServletResponse) res;
- String authHeader = request.getHeader("Authorization");
- if ("OPTIONS".equals(request.getMethod())) {
- response.setStatus(HttpServletResponse.SC_OK);
- chain.doFilter(req, res);
- } else {
- if (authHeader == null || !authHeader.startsWith("Bearer ")) {
- throw new ServletException("不合法的Authorization header");
- }
- // 取得token
- String token = authHeader.substring(7);
- try {
- Claims claims = Jwts.parser().setSigningKey("base64EncodedSecretKey").parseClaimsJws(token).getBody();
- request.setAttribute("claims", claims);
- } catch(Exception e) {
- throw new ServletException("Invalid Token");
- }
- chain.doFilter(req, res);
- }
- }
- }
要保护的 url:/user 下的:
UserController
- @SpringBootApplication
- public class AuthServerApplication {
- @Bean
- public FilterRegistrationBean jwtFilter() {
- FilterRegistrationBean rbean = new FilterRegistrationBean();
- rbean.setFilter(new JwtFilter());
- rbean.addUrlPatterns("/user/*");// 过滤user下的链接
- return rbean;
- }
- public static void main(String[] args) {
- SpringApplication.run(AuthServerApplication.class, args);
- }
- }
这个是必须经过过滤才可以访问的:
关键测试
- @RestController
- @RequestMapping("/user")
- public class UserController {
- @GetMapping("/success")
- public String success() {
- return "恭喜您登录成功";
- }
- @GetMapping("/getEmail")
- public String getEmail() {
- return "xxxx@qq.com";
- }
- }
假设我们的 Authorization 错了,肯定是通不过的:
当输入刚才服务器返回的正确 token:
允许跨域请求现在来说前端和后端是两个服务器了,所以需要允许跨域:
- @Configuration
- public class CorsConfig {
- @Bean
- public FilterRegistrationBean corsFilter() {
- UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
- CorsConfiguration config = new CorsConfiguration();
- config.setAllowCredentials(true);
- config.addAllowedOrigin("*");
- config.addAllowedHeader("*");
- config.addAllowedMethod("OPTION");
- config.addAllowedMethod("GET");
- config.addAllowedMethod("POST");
- config.addAllowedMethod("PUT");
- config.addAllowedMethod("HEAD");
- config.addAllowedMethod("DELETE");
- source.registerCorsConfiguration("/**", config);
- FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
- bean.setOrder(0);
- return bean;
- }
- @Bean
- public WebMvcConfigurer mvcConfigurer() {
- return new WebMvcConfigurerAdapter() {
- @Override
- public void addCorsMappings(CorsRegistry registry) {
- registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");
- }
- };
- }
- }
下次是采用 vuejs 写的前端如何请求。
来源: http://www.phperz.com/article/18/0106/356867.html