网站建设开源代码,杭州网站制作平台,建设工程竣工规划局网站,ppt模板下载完整版登录为啥需要鉴权#xff1f;
登录需要鉴权是为了保护系统的安全性和用户的隐私。在一个 Web 应用中#xff0c;用户需要提供一定的身份信息#xff08;例如用户名和密码#xff09;进行登录#xff0c;登录后系统会为用户生成一个身份令牌#xff08;例如 JWT Token
登录需要鉴权是为了保护系统的安全性和用户的隐私。在一个 Web 应用中用户需要提供一定的身份信息例如用户名和密码进行登录登录后系统会为用户生成一个身份令牌例如 JWT Token来标识用户的身份。
鉴权的主要目的是确保只有经过身份验证的用户才能访问系统的受限资源和功能。未经鉴权的用户不能访问系统的敏感信息和功能从而保护系统的数据和用户的隐私。
为什么选择JWT做登录鉴权
选择 JWTJSON Web Token做登录鉴权有以下几个主要优点
1.无状态
JWT 是无状态的即服务端不需要保存用户的登录状态。所有的用户信息都包含在 JWT 中因此服务端不需要在后台存储用户的登录信息。这样可以降低服务端的存储压力也减少了服务端与客户端之间的通信次数提高了系统的性能和可扩展性。
2.安全性
JWT 使用数字签名来保证 Token 的完整性和安全性。服务端在生成 JWT 时使用密钥对头部和载荷进行签名客户端在接收到 JWT 后可以通过验证签名来判断 Token 是否被篡改。这样可以防止 Token 被伪造或篡改增强了系统的安全性。
3.跨平台支持
JWT 是基于 JSON 格式的标准化令牌可以在不同平台之间方便地传递和解析。客户端可以将 JWT 存储在 Cookie、LocalStorage 或 SessionStorage 中同时可以在移动端和 Web 端之间共享使用。
4.可扩展性
JWT 载荷部分可以自定义可以存储用户的角色、权限、自定义字段等信息。这样可以在 Token 中携带更多的用户信息减少多次查询数据库的开销提高系统的性能。
5.简化权限管理
JWT 中可以包含用户的角色和权限信息这样可以简化权限管理逻辑。服务端可以根据用户的角色和权限来控制用户对不同资源的访问权限从而实现细粒度的权限控制。
JWT是token吗
是的JWTJSON Web Token是一种 Token 的实现方式。Token 是一种用于身份验证和授权的令牌用于在客户端和服务端之间传递用户的身份信息。
JWT 是一种基于 JSON 的安全令牌由三部分组成头部Header、载荷Payload和签名Signature。这三部分分别使用 Base64 编码并用点号连接起来形成一个字符串即 JWT。
实现一个简单的springboot拦截器token例子
1.创建拦截器类 TokenInterceptor.java
import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;public class TokenInterceptor implements HandlerInterceptor {Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 在这里进行 Token 鉴权逻辑// 获取请求头中的 TokenString token request.getHeader(Authorization);if (token null || !token.startsWith(Bearer )) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}// 假设这里对 Token 进行验证验证通过则放行否则返回 401 未授权状态码// 这里只是简单示例实际中可以根据业务需求来验证 Token 的有效性boolean isValidToken validateToken(token.substring(7)); // 去除 Bearer 前缀if (!isValidToken) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}return true;}private boolean validateToken(String token) {// 假设这里对 Token 进行验证验证通过返回 true否则返回 false// 可以使用 JwtUtils 工具类来验证 Token 的有效性// 注意在实际应用中需要根据业务需求和安全要求来验证 Tokenreturn true;}
}
2.注册拦截器
在 Spring Boot 主类中注册拦截器使其生效
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;SpringBootApplication
public class MyApplication implements WebMvcConfigurer {public static void main(String[] args) {SpringApplication.run(MyApplication.class, args);}Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new TokenInterceptor()).addPathPatterns(/api/**); // 拦截指定路径的请求}
}
3.创建一个简单的 Controller
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;RestController
public class MyController {GetMapping(/api/hello)public String hello() {return Hello, World!;}
}
