跨域 (CORS) 概念
同源策略 (Same-Origin Policy)
同源策略是一项浏览器安全特性,它限制了一个网页中的脚本如何与另一个来源(域名、协议、端口)的资源进行交互。这对于防止跨站点请求伪造和数据泄露非常重要。
为什么需要跨域?
跨域问题通常发生在前端应用程序试图从不同的域请求数据或资源时。这可能是因为前端应用和后端API托管在不同的域上。跨域解决方案
### CORS (Cross-Origin Resource Sharing)
CORS是一种标准,允许服务器声明哪些源可以访问其资源。在后端Java应用程序中,您可以通过配置响应头来启用CORS。以下是一个Spring Boot示例:
```java
@Configuration
public class CorsConfig {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://localhost:3000")
.allowedMethods("GET", "POST");
}
};
}
}
```
这段代码允许来自`http://localhost:3000`的跨域请求访问`/api`端点。
# JSON Web Tokens (JWT) 概念
什么是JWT?
JWT是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式来表示信息,用于在各方之间安全地传输信息。它通常用于对用户进行身份验证和授权。
JWT 结构
JWT由三部分组成:头部(Header)、载荷(Payload)、签名(Signature)。
- 头部包含指定JWT的类型和所用的签名算法。
- 载荷包含声明,声明了一些实体(通常是用户)和一些数据。
- 签名用于验证JWT的完整性。
生成和验证JWT
生成JWT
在Java中,您可以使用库如`jjwt`来生成JWT令牌。以下是一个简单的示例:
```java
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
String token = Jwts.builder()
.setSubject("user123")
.signWith(SignatureAlgorithm.HS256, "secretKey")
.compact();
```
验证JWT
在后端,您可以验证JWT令牌以确保其完整性和有效性。以下是一个示例:
```java
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureException;
try {
Claims claims = Jwts.parser()
.setSigningKey("secretKey")
.parseClaimsJws(token)
.getBody();
// 验证通过
} catch (SignatureException e) {
// 令牌无效
}
```
跨域和JWT的结合应用
通常,前端应用会向后端API发送JWT令牌以进行身份验证和授权。后端应用会验证JWT的签名,并根据令牌中的声明执行相应的操作。
以下是一个示例,前端使用JWT令牌在跨域请求中向后端进行身份验证:
```javascript
// 前端示例代码
fetch('http://api.example.com/data', {
method: 'GET',
headers: {
'Authorization': 'Bearer ' + jwtToken
}
})
.then(response => {
// 处理响应
});
```
常见问题和最佳实践
跨域和JWT的常见问题
- 跨域问题:确保正确配置CORS以避免跨域问题。
- JWT安全性:不要在JWT中存储敏感信息,限制令牌的生命周期。
最佳实践
- 使用HTTPS来保护数据传输。
- 避免将敏感信息存储在JWT中。
- 使用长且随机的密钥来签署JWT。