详解前后端分离之Java后端

前后端分离的思想由来已久，不妨尝试一下，从上手开始，先把代码写出来再究细节。

代码下载：https://github.com/jimolonely/AuthServer

前言

以前服务端为什么能识别用户呢？对，是session，每个session都存在服务端，浏览器每次请求都带着sessionId（就是一个字符串），于是服务器根据这个sessionId就知道是哪个用户了。
那么问题来了，用户很多时，服务器压力很大，如果采用分布式存储session，又可能会出现不同步问题，那么前后端分离就很好的解决了这个问题。

前后端分离思想：
在用户第一次登录成功后，服务端返回一个token回来，这个token是根据userId进行加密的，密钥只有服务器知道，然后浏览器每次请求都把这个token放在Header里请求，这样服务器只需进行简单的解密就知道是哪个用户了。这样服务器就能专心处理业务，用户多了就加机器。当然，如果非要讨论安全性，那又有说不完的话题了。

下面通过SpringBoot框架搭建一个后台，进行token构建。

构建springboot项目

我的目录结构：（结果未按标准书写，仅作说明）

不管用什么IDE，最后我们只看pom.xml里的依赖：

为了尽可能简单，就不连数据库了，登陆时用固定的。

devtools：用于修改代码后自动重启；

jjwt：加密这么麻烦的事情可以用现成的，查看https://github.com/jwtk/jjwt

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.5.2.RELEASE</version>
    <relativePath /> <!-- lookup parent from repository -->
  </parent>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
    <java.version>1.8</java.version>
  </properties>

  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <!-- JJWT -->
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.6.0</version>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-devtools</artifactId>
      <optional>true</optional>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-test</artifactId>
      <scope>test</scope>
    </dependency>
  </dependencies>

登录

这里的加密密钥是：base64EncodedSecretKey

import java.util.Date;

import javax.servlet.ServletException;

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

@RestController
@RequestMapping("/")
public class HomeController {

  @PostMapping("/login")
  public String login(@RequestParam("username") String name, @RequestParam("password") String pass)
      throws ServletException {
    String token = "";
    if (!"admin".equals(name)) {
      throw new ServletException("找不到该用户");
    }
    if (!"1234".equals(pass)) {
      throw new ServletException("密码错误");
    }
    token = Jwts.builder().setSubject(name).claim("roles", "user").setIssuedAt(new Date())
        .signWith(SignatureAlgorithm.HS256, "base64EncodedSecretKey").compact();
    return token;
  }
}

 测试token

现在就可以测试生成的token了，我们采用postman：

过滤器

这肯定是必须的呀，当然，也可以用AOP。

过滤要保护的url，同时在过滤器里进行token验证

token验证：

public class JwtFilter extends GenericFilterBean {

  @Override
  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
    String authHeader = request.getHeader("Authorization");
    if ("OPTIONS".equals(request.getMethod())) {
      response.setStatus(HttpServletResponse.SC_OK);
      chain.doFilter(req, res);
    } else {
      if (authHeader == null || !authHeader.startsWith("Bearer ")) {
        throw new ServletException("不合法的Authorization header");
      }
      // 取得token
      String token = authHeader.substring(7);
      try {
        Claims claims = Jwts.parser().setSigningKey("base64EncodedSecretKey").parseClaimsJws(token).getBody();
        request.setAttribute("claims", claims);
      } catch (Exception e) {
        throw new ServletException("Invalid Token");
      }
      chain.doFilter(req, res);
    }
  }

}

要保护的url：/user下的：

@SpringBootApplication
public class AuthServerApplication {

  @Bean
  public FilterRegistrationBean jwtFilter() {
    FilterRegistrationBean rbean = new FilterRegistrationBean();
    rbean.setFilter(new JwtFilter());
    rbean.addUrlPatterns("/user/*");// 过滤user下的链接
    return rbean;
  }

  public static void main(String[] args) {
    SpringApplication.run(AuthServerApplication.class, args);
  }
}

UserController

这个是必须经过过滤才可以访问的：

@RestController
@RequestMapping("/user")
public class UserController {

  @GetMapping("/success")
  public String success() {
    return "恭喜您登录成功";
  }

  @GetMapping("/getEmail")
  public String getEmail() {
    return "xxxx@qq.com";
  }
}

关键测试

假设我们的Authorization错了，肯定是通不过的：

当输入刚才服务器返回的正确token：

允许跨域请求

现在来说前端和后端是两个服务器了，所以需要允许跨域：

@Configuration
public class CorsConfig {

  @Bean
  public FilterRegistrationBean corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTION");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("DELETE");
    source.registerCorsConfiguration("/**", config);
    FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0);
    return bean;
  }

  @Bean
  public WebMvcConfigurer mvcConfigurer() {
    return new WebMvcConfigurerAdapter() {
      @Override
      public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");
      }
    };
  }
}

下次是采用VueJS写的前端如何请求。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

# java前后端分离  # java前后端分离架构  # java前端和后端分离  # Java SSM实现前后端协议联调详解上篇  # Java axios与spring前后端分离传参规范总结  # Java前后端分离的在线点餐系统实现详解  # 基于Java SpringBoot的前后端分离信息管理系统的设计和实现  # Java前后端时间格式的转化方式  # Java SSM实现前后端协议联调详解下篇  # 后端  # 服务端  # 可以用  # 就知道  # 来了  # 很好  # 放在  # 带着  # 就能  # 就不  # 找不到  # 又有  # 只需  # 这个问题  # 由来已久  # 错了  # 是哪个  # 才可以  # 非要  # 先把 

相关文章： 如何快速搭建高效简练网站？  企业微网站怎么做,公司网站和公众号有什么区别？  C++如何将C风格字符串（char*）转换为std::string？（代码示例）  魔方云NAT建站如何实现端口转发？  如何通过服务器快速搭建网站？完整步骤解析  成都响应式网站开发,dw怎么把手机适应页面变成网页？  电脑免费海报制作网站推荐,招聘海报哪个网站多？  建站三合一如何选？哪家性价比更高？  装修招标网站设计制作流程,装修招标流程？  网站设计制作企业有哪些,抖音官网主页怎么设置？  定制建站流程步骤详解：一站式方案设计与开发指南  潍坊网站制作公司有哪些,潍坊哪家招聘网站好？  如何正确选择百度移动适配建站域名？  胶州企业网站制作公司,青岛石头网络科技有限公司怎么样？  建站与域名管理如何高效结合？  Android自定义listview布局实现上拉加载下拉刷新功能  建站主机默认首页配置指南：核心功能与访问路径优化  在线教育网站制作平台,山西立德教育官网？  如何处理“XML格式不正确”错误 常见XML well-formed问题解决方法  高端企业智能建站程序：SEO优化与响应式模板定制开发  长沙企业网站制作哪家好,长沙水业集团官方网站？  如何用景安虚拟主机手机版绑定域名建站？  制作门户网站的参考文献在哪,小说网站怎么建立？  如何使用Golang安装API文档生成工具_快速生成接口文档  哈尔滨网站建设策划,哈尔滨电工证查询网站？  建站之星后台搭建步骤解析：模板选择与产品管理实操指南  广平建站公司哪家专业可靠？如何选择？  如何高效配置IIS服务器搭建网站？  三星网站视频制作教程下载,三星w23网页如何全屏？  建站之星如何实现PC+手机+微信网站五合一建站？  如何高效完成独享虚拟主机建站？  建站之星五站合一营销型网站搭建攻略，流量入口全覆盖优化指南  视频网站制作教程,怎么样制作优酷网的小视频？  建站之星微信建站一键生成小程序+多端营销系统  宝塔建站无法访问？如何排查配置与端口问题？  专业制作网站的公司哪家好,建立一个公司网站的费用.有哪些部分,分别要多少钱？  黑客如何利用漏洞与弱口令入侵网站服务器？  如何挑选最适合建站的高性能VPS主机？  高端建站如何打造兼具美学与转化的品牌官网？  制作销售网站教学视频,销售网站有哪些？  如何在建站宝盒中设置产品搜索功能？  网站制作新手教程,新手建设一个网站需要注意些什么？  网站制作免费,什么网站能看正片电影？  浙江网站制作公司有哪些,浙江栢塑信息技术有限公司定制网站做的怎么样？  广德云建站网站建设方案与建站流程优化指南  智能起名网站制作软件有哪些,制作logo的软件？  建站主机选哪家性价比最高？  如何通过智能用户系统一键生成高效建站方案？  如何高效完成自助建站业务培训？  简历在线制作网站免费版,如何创建个人简历？