配置Spring Security支持CORS与无状态JWT认证,允许前端跨域请求并禁用CSRF;2. 自定义JsonUsernamePasswordAuthenticationFilter处理JSON登录数据;3. 登录成功后返回JWT,前端存储并在后续请求头中携带Bearer Token;4. 前端通过拦截器统一处理401未授权响应,登出时清除Token。核心是前后端协同实现安全的身份认证与权限控制。
JavaScript与Spring Security结合使用,主要是为了解决前后端分离架构下的身份认证与权限控制问题。前端通过JavaScript(如Vue、React或原生Ajax)发送请求,后端使用Spring Security进行安全拦截与验证。以下是关键实现步骤和注意事项。
示例配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.cors().and()
.csrf().disable() // 前后端分离可禁用CSRF,或启用并由前端处理
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeHttpRequests(authz -> authz
.requestMatchers("/login", "/register").permitAll()
.anyRequest().authenticated()
)
.addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
return http.build();
}
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOriginPatterns(Arrays.asList("*"));
configuration.setAllowedMethods(Arrays.asList("GET","POST","PUT","DELETE"));
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setAllowCredentials(true);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
说明:开启CORS支持,允许前端域名访问;关闭CSRF(或使用Token机制处理);使用无状态会话(STATELESS),适合JWT方案。
示例:自定义登录过滤器
立即学习“Java免费学习笔记(深入)”;
public class JsonUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) {
if (request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)) {
ObjectMapper mapper = new ObjectMapper();
try {
LoginRequest loginRequest = mapper.readValue(request.getInputStream(), LoginRequest.class);
UsernamePasswordAuthenticationToken token =
new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword());
return getAuthenticationManager().authenticate(token);
} catch (IOException e) {
throw new RuntimeException("无法读取登录信息");
}
} else {
return super.attemptAuthentication(request, response);
}
}
}
将该过滤器添加到Spring Security链中,替代默认的UsernamePasswordAuthenticationFilter。
JTBC网站内容管理系统是一套可对现有模块进行扩充与克隆的网站系统核心,采用UTF-8编码,采取 语言-代码-程序两两分离的技术模式,全面使用了模板包与语言包结构,为用户的修改提供方便,网站内容的每一个角落都可以在后台予以管理,是一套非常适合用做系统建站或者进行二次开发的程序核心
71
流程如下:
示例:前端请求代码(使用fetch)
fetch('/login', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ username: 'user', password: '123456' })
})
.then(res => res.json())
.then(data => {
localStorage.setItem('jwt', data.token);
});
后续请求带上Token:
fetch('/api/data', {
headers: {
'Authorization': 'Bearer ' + localStorage.getItem('jwt')
}
})
建议做法:
基本上就这些。核心是前后端约定认证方式,Spring Security提供保护机制,JavaScript负责发起请求并管理用户状态。配合得当,即可实现安全可靠的访问控制。
以上就是JavaScript与SpringSecurity结合使用方法的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
471
