JS如何与SpringOAuth2安全认证配合_JS与SpringOAuth2安全认证配合的教程

程序猿 • 2025年12月21日 04:15:37 • 好文分享 • 阅读 0

%ignore_a_1%通过OAuth2授权码模式+PKCE跳转登录，获取access_token后在请求头携带Bearer Token访问受Spring Security保护的API，后端配置JWT资源服务器验证令牌并启用CORS支持跨域。

JavaScript前端应用与Spring Boot后端集成OAuth2安全认证，是现代全栈开发中的常见需求。通常前端使用JS（如Vue、React或原生JS）发起请求，后端使用Spring Security + OAuth2进行权限控制。下面介绍如何让JS与Spring OAuth2协同工作，实现安全的用户登录和资源访问。

理解整体架构

在典型的前后端分离项目中：

前端（JS）运行在浏览器中，负责展示界面并与用户交互后端（Spring Boot）暴露REST API，通过Spring Security和OAuth2保护接口认证服务器负责颁发token（可以是独立服务，也可以内嵌在Spring应用中）

常见的流程是：用户在前端点击“登录”，跳转到OAuth2授权服务器（如Google、GitHub或自建），授权后获取access_token，后续请求携带该token访问受保护的API。

配置Spring Boot OAuth2资源服务器

确保你的Spring Boot应用正确配置为OAuth2资源服务器，能验证JWT格式的access token。

application.yml 示例：

spring:  security:    oauth2:      resourceserver:        jwt:          issuer-uri: http://localhost:8080/auth/realms/your-realm          # 或者指定 jwk-set-uri

添加依赖（Maven）：

    org.springframework.boot    spring-boot-starter-oauth2-resource-server

启用Security配置：

@Configuration@EnableWebSecuritypublic class SecurityConfig {    @Bean    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {        http.authorizeHttpRequests(authz ->            authz.requestMatchers("/public/**").permitAll()                  .anyRequest().authenticated()        );        http.oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt);        return http.build();    }}

前端JS如何处理OAuth2登录与请求

由于浏览器安全限制，不推荐在JS中直接处理client_secret等敏感信息。应采用授权码模式 + PKCE，适合单页应用（SPA）。

使用官方推荐库如 openid-client 或更轻量的 simple-oauth2，但更推荐使用 Auth.js（原NextAuth）或 OAuth2-Client 库简化流程。

一个简单的JS登录跳转示例：

function login() {  const clientId = 'your-spa-client-id';  const redirectUri = 'https://www.php.cn/link/c7e07c312fd6bafc9f5192b3dfdf3d3f';  const scope = 'openid profile email';  const state = generateRandomString();  const codeVerifier = generateCodeVerifier(); // PKCE用  const codeChallenge = base64UrlEncode(sha256(codeVerifier));// 存储codeVerifier以便回调时使用sessionStorage.setItem('code_verifier', codeVerifier);
const authUrl = new URL('https://www.php.cn/link/90918c5b8c17f80e32d5b155a7bf6197');authUrl.searchParams.append('client_id', clientId);authUrl.searchParams.append('response_type', 'code');authUrl.searchParams.append('scope', scope);authUrl.searchParams.append('redirect_uri', redirectUri);authUrl.searchParams.append('state', state);authUrl.searchParams.append('code_challenge', codeChallenge);authUrl.searchParams.append('code_challenge_method', 'S256');
window.location.href = authUrl.toString();}

回调页面（callback.html）处理授权码并换取token：

// 假设URL中包含 ?code=xxx&state=yyyconst urlParams = new URLSearchParams(window.location.search);const code = urlParams.get('code');if (code) {const codeVerifier = sessionStorage.getItem('code_verifier');fetch('https://www.php.cn/link/d996e31032e7c288d7e20e7b82221c20', {method: 'POST',headers: { 'Content-Type': 'application/x-www-form-urlencoded' },body: new URLSearchParams({grant_type: 'authorization_code',client_id: 'your-spa-client-id',code: code,redirect_uri: 'https://www.php.cn/link/c7e07c312fd6bafc9f5192b3dfdf3d3f',code_verifier: codeVerifier})}).then(response => response.json()).then(data => {localStorage.setItem('access_token', data.access_token);window.location.href = '/dashboard.html';});}

JS发起受保护的API请求

每次调用Spring保护的接口时，在请求头中带上access token：

fetch('http://localhost:8080/api/user/profile', {  method: 'GET',  headers: {    'Authorization': 'Bearer ' + localStorage.getItem('access_token')  }}).then(response => {  if (response.status === 401) {    // token过期，重新登录    window.location.href = '/login.html';  }  return response.json();}).then(data => console.log(data));

建议封装一个API客户端，自动附加token：

function apiGet(url) {  return fetch(url, {    headers: {      'Authorization': 'Bearer ' + localStorage.getItem('access_token')    }  });}

基本上就这些。只要前后端约定好token传递方式，Spring会自动解析JWT并建立安全上下文。注意跨域问题需在后端配置CORS，允许前端域名访问。

以上就是JS如何与SpringOAuth2安全认证配合_JS与SpringOAuth2安全认证配合的教程的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/1537579.html

g git html java javascript js json js开发spring教程 react vue 前端

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

393.1K 文章

0 评论

1 粉丝

这个人很懒，什么都没有留下～

Phaser 3：实现物理对象的缓慢漂移与重力控制

上一篇 2025年12月21日 04:15:27

Phaser 3 中实现物理组或游戏对象缓慢漂浮运动并忽略重力

下一篇 2025年12月21日 04:15:50

好文分享

HTML如何设置文本溢出？text-overflow属性的作用是什么？

text-overflow: ellipsis 可解决文本溢出问题，但需同时设置 width、white-space: nowrap 和 overflow: hidden 才能生效；clip 值直接裁剪文本，ellipsis 显示省略号；自定义省略号样式需借助 JavaScript 检测 scrol…

程序猿
2025年12月22日
0000
好文分享

HTML表单如何实现微服务集成？怎样分解表单功能？

HTML表单与微服务集成的核心是通过API网关实现解耦与协作。表单提交数据至统一入口，由网关路由到对应微服务，避免前端直连服务，提升安全与可维护性。推荐使用JSON格式异步提交，结合前端组件化与多步向导式设计，将复杂表单按业务域分解为独立模块，每个模块对接特定微服务，实现职责分离。前端应实施基础验证…

程序猿
2025年12月22日
0000
好文分享

优化网页背景覆盖：解决底部空白与背景延伸问题

本教程旨在解决网页背景无法完全覆盖整个页面，导致底部出现空白或非预期背景的问题。通过调整CSS中的position、height和overflow属性，并引入box-sizing，确保背景（或背景覆盖层）能无缝延伸至整个可滚动区域，提供一致的视觉体验。在网页设计中，我们经常会遇到背景无法完全覆盖整…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置表格标题？caption标签的作用是什么？

表格标题的语义化作用是明确标识标题与表格的关联，提升可访问性和SEO，相比其他标签更符合HTML语义化标准，且无需额外ARIA属性即可被辅助技术识别。 HTML表格标题的设置主要通过标签实现。它允许你为表格添加一个描述性的标题，帮助用户理解表格的内容。标签必须紧跟在标签之后，且一个表格只能有一…

程序猿
2025年12月22日
0000
好文分享

HTML/CSS页面背景全覆盖与叠加层固定技巧

针对HTML/CSS中页面背景无法完全覆盖可滚动内容区域或出现不期望的背景色问题，本教程提供一套解决方案。通过调整body元素的overflow-y属性使其可滚动，并结合将背景叠加层（overlay）的定位方式从absolute改为fixed，确保页面背景及半透明覆盖层能够始终延伸至整个可滚动区域，…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置变量？var标签的作用是什么？

在HTML中“设置变量”实际依赖JavaScript，通过var、let、const声明变量实现动态逻辑，而标签仅用于语义化标记变量名，不参与数据存储。此外，CSS自定义属性和data-*属性也提供类似变量的功能，分别用于样式值管理和HTML元素数据绑定，共同增强网页的动态性与可维护性。 HTML本…

程序猿
2025年12月22日
0000
好文分享

表单中的Markdown编辑器怎么集成？如何实时预览Markdown？

答案：集成Markdown编辑器并实现实时预览需选用合适库如EasyMDE和marked.js，通过事件监听、防抖优化与DOMPurify净化HTML，确保安全高效同步预览，同时支持图片上传、代码高亮等进阶功能以提升用户体验。将Markdown编辑器集成到表单中，并实现实时预览，核心在于选择合适的…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置等待样式？waiting伪类的用法是什么？

答案：通过CSS定义.waiting类样式，JavaScript动态添加/移除该类，结合::before/::after伪元素实现加载动画，利用finally确保异步操作后清除状态，可封装全局等待管理函数提升复用性。 HTML中设置等待样式，通常不是直接通过HTML本身，而是结合CSS和JavaSc…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置文本阴影？text-shadow属性的用法是什么？

html中设置文本阴影主要通过css的text-shadow属性实现。1. text-shadow属性由水平偏移、垂直偏移、模糊半径和颜色四个值组成，例如text-shadow: 2px 2px 5px red；2. 可设置多个阴影效果，各阴影间用逗号分隔，如text-shadow: 1px 1px…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置表单文件上传？input type=”file”怎么用？

答案：实现文件上传需设置表单enctype=”multipart/form-data”和method=”post”，使用input type=”file”并指定name属性，服务器端通过该name接收文件，如Flask中用req…

程序猿
2025年12月22日
0000
好文分享

表单中的错误处理怎么实现？如何优雅地显示错误信息？

答案：表单错误处理需客户端与服务端双重验证，客户端提升体验，服务端确保安全，错误信息应具体、友好、内联显示，并结合前端框架状态管理实现优雅提示。表单中的错误处理，核心在于双重验证（客户端与服务端），并以用户易于理解且不打扰其操作流程的方式呈现错误信息。这不仅仅是技术实现，更关乎用户体验的细致打磨。…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置表单输入自动完成？autocomplete属性的作用是什么？

HTML表单通过autocomplete属性实现输入自动完成，可应用于form或input标签，on/off控制开启关闭，但设置off时浏览器可能因自身设置、密码管理器或缓存仍显示历史记录，无法完全自定义提示内容，可通过datalist或JavaScript模拟实现，合理使用可提升体验与辅助功能，但…

程序猿
2025年12月22日
0000
好文分享

表单中的OAuth怎么实现？如何授权访问用户数据？

OAuth在表单中并非获取用户密码，而是通过授权委托实现安全数据访问。其核心是让用户在第三方平台登录并授权，应用通过授权码换取访问令牌（access_token），再以该令牌请求用户数据。与传统表单登录不同，OAuth不接触用户凭证，认证与授权分离，提升安全性。典型流程包括：应用重定向至第三方授权页…

程序猿
2025年12月22日
0000
好文分享

HTML如何制作闹钟？时间提醒怎么设置？

纯html无法实现闹钟功能，必须结合javascript和css；2. javascript负责时间处理、事件触发、定时器管理和声音控制，是闹钟的“大脑”；3. 除了声音提醒，还可通过浏览器通知、视觉动画、振动或页面标题闪烁等方式实现提醒；4. 浏览器关闭后纯前端闹钟无法运行，需借助service …

程序猿
2025年12月22日
0000
好文分享

HTML如何设置占位显示样式？placeholder-shown伪类的用法是什么？

答案：:placeholder-shown伪类可在输入框显示占位符时设置样式，支持颜色、字体、边框等样式控制，并通过JavaScript模拟实现兼容性处理。 HTML中设置占位显示样式，主要靠 :placeholder-shown 这个伪类。它允许你在 input 或 textarea 元素显示 p…

程序猿
2025年12月22日
0000
好文分享

HTML如何设置当前元素样式？current伪类的作用是什么？

答案：通过CSS类名、JavaScript动态控制及aria-current属性实现“当前元素”样式。具体描述：HTML负责结构，CSS定义样式，常用.active或.current类配合JavaScript根据URL或交互逻辑动态添加；利用aria-current=”page&#822…

程序猿
2025年12月22日
0000
好文分享

表单中的时间选择器怎么自定义？如何限制可选时间范围？

要实现时间选择器的自定义外观和限制可选时间范围，通常不依赖原生 input type=”time”，而是使用 javascript 日期时间库或前端 ui 框架组件，因为原生组件样式无法自定义、功能有限且跨浏览器表现不一，而通过 flatpickr 等库可灵活配置 datef…

程序猿
2025年12月22日
0000
好文分享

HTML表单如何设置输入框的自动聚焦？autofocus属性怎么用？

最直接的方法是使用autofocus属性，它能在页面加载时自动聚焦输入框，提升用户体验。该属性适用于input、textarea和select元素，但一个页面中仅第一个带autofocus的元素生效。需注意可访问性、移动端键盘自动弹出及动态内容中autofocus可能失效的问题。此时可用JavaSc…

程序猿
2025年12月22日
0000
好文分享

HTML表单如何实现OpenID Connect？怎样验证用户身份？

答案：HTML表单不能直接实现OpenID Connect，而是通过按钮或链接触发认证流程。用户点击登录按钮后，%ignore_a_1%重定向到身份提供商的授权端点，用户在IdP页面完成认证，IdP将授权码通过回调URL返回，后端用该码向令牌端点换取ID Token和Access Token，服务器…

程序猿
2025年12月22日
0000
好文分享

表单中的multiple属性有什么用？如何允许选择多个文件？

使用 multiple 属性可允许多文件上传，通过 FileList 对象在 JavaScript 中遍历文件并获取属性；2. 利用 FormData 和 fetch 实现文件上传；3. 浏览器兼容性良好，可通过 ‘multiple’ in fileInput 检测支持；4.…

程序猿
2025年12月22日
0000