从PC/移动端跳转到网页端时TOKEN失效导致验证失败处理

最新推荐文章于 2024-06-20 16:34:59 发布
最新推荐文章于 2024-06-20 16:34:59 发布
阅读量2.5k 收藏 5
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/everliyan/article/details/111712980
博客讲述了处理网页跳转权限问题的过程。在其他端口跳转到网页端时,因token未传递,用户操作无权限。通过写跳转页面接收加密信息进行权限验证并存缓存解决。之后发现跨平台跳转仍可能没权限,是因前端token存于浏览器缓存,需在请求前存入,最终解决权限问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以前处理过一个BUG,在其他端口点击跳转到网页端时,用户继续操作时没有权限上传失败、或没有浏览权限跳转到404页面

这个问题的是因为在跳转的过程中token没有传递过来,为了解决这个问题,写了一个跳转页面,接收加密过的用户id、sessionkey、url

在此页面进行权限验证并存入缓存,成功则跳转到url,废话不多说,上代码:

//服务端
<?php
//加密解密服务
require("common/aes.php");

// 定义项目路径
defined('API_ROOT') || define('API_ROOT', dirname(__FILE__) . '/..');
define('VERSION', 'test'); // develop=>开发,test=>测试,product=>正式

// 引入composer
require_once API_ROOT . '/vendor/autoload.php';

// 时区设置
date_default_timezone_set('Asia/Shanghai');
session_start();
$userid = $_GET['u'];
$sessionKey = $_GET['s'];
$go = $_GET['g'];

if (isset($userid) && strlen($userid) > 0 && isset($sessionKey) && strlen($sessionKey) > 0 && isset($go) && strlen($go) > 0) {
    $des = new TripleAES();
    $userid = (int)trim($des->Decrypt($userid));
    $sessionKey = trim($des->Decrypt($sessionKey));
    $go = trim($des->Decrypt($go));

    $checkErrMsg = "";
    $data = DoUserLogin($userid, "", $sessionKey, $checkErrMsg) or die('你当前已离线,请重新登录在刷新重试!' . $userid . '--' . $sessionKey . '---' . $go);
    $nulstr = strstr($go, chr(0));
    if ($nulstr) {
        $go = substr($go, 0, strlen($go) - strlen($nulstr));
    }
    header("Location: " . $go);
} else {
    die('你当前已离线,请重新登录在刷新重试!');
}
//验证并缓存用户数据
function DouserLogin($userid, $password, $sessionKey, &$checkErrMsg)
{

    try {
        $client = \GrpcServer\ClientFactory::createClient(
            'tokencheck.TokenCheck', VERSION
        );
        $req = new \Cfwf\Micro_service\Tokencheck\CheckUserTokenWhenClientAccessRequest();
        $req->setUserid($userid);
        $req->setToken($sessionKey);
        $req->setOs(1);
        list($data) = $client->CheckUserTokenWhenClientAccess($req)->wait();
        $lists = $data->toArray();
        if ($lists['result'] != 1) {
            return false;
        } else {
            $request['os'] = 1;
            $request['user_id'] = $userid;
            $request['token'] = $sessionKey;
            $request['web_level'] = 0;
            $AccountGrpc = new \Common\Domain\AccountGrpc();
            $data = $AccountGrpc->setLoginUserInfo($request, VERSION);
            $_SESSION['loginUserInfo'] = $data;
            return $data;
        }
    } catch (\Exception $e) {
        return false;
    }
}

?>

跳转到新页面的时候,发现有时还是没有权限,经过检查,前端把token存在在浏览器缓存了,刚跨平台跳转当然不会有浏览器缓存,所以在前端请求前需要把token存入浏览器缓存内。

我在vue的钩子方法内,首先调用请求到接口获取用户数据,保证后续的请求都拿到了 token,还是直接上代码。

...
  created() {
    this.id = this.$route.query.id; // 栏目id
    this.a_id = this.$route.query.a_id; // 活动id
    this.getLoginInfo();
  },
.....
  methods: {
    // 获取登录数据
    //这个接口在白名单内,无需token验证
    async getLoginInfo() {
      const data = {
        s: "Common.Account.getLoginUserInfo",
      };
      //调用接口
      let response = await api.post(url.httpUrl, data);
      const res = response.data.data;
      const isLogin = api.eventListener(res);
      this.user_id = localStorage.getItem("ms_userid");
      this.uploadUrl = url.uploadPath; // 文件上传地址
      this.uploadData = {
        UserId: localStorage.getItem("ms_userid"),
        SessionKey: localStorage.getItem("ms_token"),
        OS: 4,
        CheckCode: api.randomString(40),
      };
      this.options = {
        target: url.uploadPath, // 上传地址
        testChunks: false,
        singleFile: false, // 启用单个文件上传。上传一个文件后,第二个文件将超过现有文件,第一个文件将被取消。
        chunkSize: "1048576" * 1, //分块大小 单位(M)
        query: {
          //传参
          UserId: localStorage.getItem("ms_userid"),
          SessionKey: localStorage.getItem("ms_token"),
          OS: 4,
          PluginType: 1,
        },
      };
      this.function1();
    },
},
...
//api.js内方法
    // 监听登录状态做出相应处理,返回是否登录
    eventListener(res) {
        if (res) {
            localStorage.setItem("ms_username", res.username);
            localStorage.setItem("ms_userid", res.userid);
            localStorage.setItem("ms_userface", res.userface);
            localStorage.setItem("ms_schoolid", res.schoolid);
            localStorage.setItem("ms_identity", JSON.stringify(res.identity));
            localStorage.setItem("ms_userAuth", JSON.stringify(res.userAuth));
            localStorage.setItem("ms_schoolname", res.schoolname);
            localStorage.setItem("ms_token", res.token);
            localStorage.setItem("ms_token_endtime", res.token_endtime);
            return true;
        } else {
            //清除缓存
            this.clearLoginInfo();
            return false;
        }

    },
   //api.js 内封装的post请求
    post(url, data) {
        if (!data.userid) {
            data.userid = localStorage.getItem("ms_userid") ? localStorage.getItem("ms_userid") : 1;
        }
        //前端请求携带的token
        data.token = localStorage.getItem("ms_token");
        return axios({
            method: 'post',
            url,
            data: qs.stringify(data),
            timeout: 30000,
            headers: {}
        }).then(function (response) {
            if (response.data.ret != 200) {
                v.$notify({
                    message: "当前页面部分功能暂时不可用,请稍后再试。",
                    offset: 100
                });
                return false;
            }
            return response;
        }
        ).catch(function (error) {
            console.log(error);
            // 网络异常引发的错误
        });
    },

至此,这个因为权限已经解决了。

 

 

 

 

 

 

 

 

 

feign A服务调用B服务丢失token
qq_43191127的博客
03-13 654
在使用SpringCloud开发微服务项目,从A服务调用B服务的接口,会出现请求头参数出错的情况,一半情况下是不会出现任何问题的,但是当我们在请求头中添加了token认证信息的候,也就是说,我们的服务需要认证的候就会导致Feign请求出现401的错误。 解决办法,利用拦截器,在每次调用Feign请求之前,把Header内的信息给到新请求中。添加一个拦截器 /** * 解决feign调用丢失token解决方案, 新增拦截器 * * @return */ @Bean public
react+AntDesign 之 pc端零到一
Jasmin博客
01-04 1832
react pc端项目案例
跳转登录失败问题token失效,先保存token、再用token
qq_43780814的博客
11-13 2261
你已被登出,可以取消继续留在该页面,或者重新登录 跳转物联 登录失败:不能获取token(登录已过期,请重新登录)。sessionStorage保存token。在获取 //store > user.js const user = { state: { token: getToken() || sessionStorage.getItem('hhy-session'), userinfo: '', authorityInfo: {}, busin.
Token ,Cookie、Session 三者区别
lizhengyu891231的博客
11-09 1119
转载自:cnblogs.com/JamesWang1993/p/8593494.html 叙述 在做接口测试,经常会碰到请求参数为token的类型,但是可能大部分测试人员对token,cookie,session的区别还是一知半解。 Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站会把该cookie
Pc端和移动端 修改 token用户信息,数据的一致性
呆萌Di狍子
11-23 4930
经常会遇到pc端和移动端 登录后 需要在redis里边存储用户信息,返回一个token给前端,然后通过token获取用户信息,当pc移动端修改了用户信息之后,另一端会的数据还是不会发生改变,所以要在token存储的过程中做文章: 1 登录:先获取token(jwt等算法) ,用户信息,然后将token为key,用户id为value 保存在redis中,然后再通过用户id为key 存储用户信息...
服务器上 Nginx 使用代理导致 获取不到 token
weixin_45626288的博客
08-05 2904
我的Nginx 使用的是域名代理 原因:NGINX对header有所限制,下划线(_)不支持 解决方式1:请求头参数不用带下划线参数 解决方式2:在nginx里的nginx.conf配置文件中的http部分中添加如下配置: underscores_in_headers on; (默认 underscores_in_headers 为off) 原文链接:https://blog.csdn.net/qq_32784303/article/details/103576904 ...
PC端实现微信扫码登录的技术指南
热门推荐
每天都要努力学习哦~~
07-21 3万+
通过按照上述步骤,你可以在PC端实现微信扫码登录功能。首先,注册并获取微信开放平台的AppID和AppSecret。然后,在HTML页面中引入微信扫码登录组件,并创建扫码登录按钮。最后,在回调URL的后端代码中处理回调并获取用户授权信息,以实现身份验证或其他相关操作。实现微信扫码登录可以提供更方便的登录体验,并为用户和网站管理员带来许多便利。希望本文对你有所帮助!
PHP实现微信网页登陆授权开发
xiaoyaGrace的博客
05-07 831
准备工作 网站应用微信登录是基于OAuth2.0协议标准构建的微信OAuth2.0授权登录系统。 在进行微信OAuth2.在进行微信OAuth2.0授权登录接入之前,在微信开放平台注册开发者帐号,并拥有一个已审核通过的网站应用,并获得相应的AppID和AppSecret,申请微信登录且通过审核后,可开始接入流程。 授权流程说明 微信OAuth2.0授权登录让微信用户使用微信身份安全登录第三...
记 shiro实现免密登录 根据不同url跳转至不同登录页
mozun3的博客
07-11 2736
1.需求说明: 本次对接微信端,也可以是第三方系统接入,除了我们本身的系统登录之外,需要对微信端连接进行登录。用户绑定微信id,未绑定的需要登录并绑定,绑定过的则直接登录。登录依托shiro管理。主要问题是绑定过的如何进项shiro登录,从数据库查询出的用户密码是加盐过的。 2.思路一: 首先考虑到的是shiro登录成功后是如何记录用户已登录的,将查询的结果放到shiro的ses...
获取Token不完整问题
weixin_33835690的博客
08-03 406
会遇到获取Token只能获取一半的问题,明明有两个Cookie,但只获取到一个,这个是因为301重定向跳转设置问题,设置为True就可以获取到完整的Token了. myHttpWebRequest.AllowAutoRedirect = true;//是否根据301跳转    转载于:https://www.cnblogs.com/XuPengLB/p/5732484.html...
浏览器加了token的header导致部分网页打不开
xiancaolj的博客
06-20 259
因为测试加了个token
vue项目使用jwt token验证登录 报错token无效验证失败 【已解决】
qq_40715438的博客
11-21 4572
检查了所有代码都没有问题,在所有需要token的地方都能拿到正确的token,但是在verify仍然走的err,打印出的错误为 invalid token 最后在外网查到有人在获取token使用了split,才注意到直接从请求头拿到的token打印出来是带双引号的,而这个双引号也被当做token的一部分进行验证了 把头尾的双引号去掉再做验证就成功了 ...
Nginx转发API服务导致Header里的token丢失问题
kun20031029的专栏
09-15 1716
nginx转发导致header中的token丢失
nginx无法跳转
晴天小风的博客
03-30 4980
nginx转发端口非80的候,无法跳转问题 nginx默认反向的端口为80,因此存在被代理后的端口为80的问题,会导致访问出错。 主要原因在Nginx的配置文件的host配置没有设置响应的端口。 修改方法:在nginx.conf里对应的server段中将Host后面的改为 $host:$server_port即可 ...
微信扫描二维码,h5二维码的url中携带token,在微信内置浏览器token不能使用
weixin_42156401的博客
06-22 1677
@[TOC]微信扫描二维码,h5二维码的url中携带token,在微信内置浏览器token不能使用 微信扫描二维码,h5二维码的url中携带token,在微信内置浏览器token不能使用 最近在做一个移动h5项目,记录一下在项目中遇到的问题,前端生成二维码,将token放到一个请求参数中,传递给后台,后台接收token参数,在二维码url中添加上token参数,让扫描使用的人也可以正常使用。 因为token前缀的Bearer ,中有空格,微信直接打开会将空格转移,导致token不正确,通过分享链接打开的人
移动端访问服务器接口,对token是否需要设置问题的见解
daidaiwostudy的博客
03-04 1152
一般移动端访问服务器接口,服务器都会设置一个token,对token进行鉴权,鉴权通过就可以继续访问,否则就不通过。 直入主题: 我的实践将token设置为服务端的session值,如此有2点好处。一是移动端访问服务器接口的生命周期与session的生命周期保存一致,不用担心访问接口是session突然失效,当然你过了session周期,再次访问接口session会失效。这就跟你访问一个网站系统,...
uniapp小程序token失效403跳转登录页坑!!!!当前页面多个接口会跳多个登录页案例 如何解决 !!!
weixin_69666355的博客
05-04 2586
token失效多次跳登录页
nginx 转发请求,请求头token丢失
才这么点的博客
04-22 4072
我的请求头设置account_token,nginx默认情况下不识别 "_" 导致token没有发送到后台 1.修改配置 2.把account_toke 下划线去掉
若没有token,需要跳转到登录页面怎么做
qq_52181663的博客
07-21 1672
2、在路由配置文件的全局前置导航守卫中做:(在跳转页面之前,若检查到没有token)1、在封装的axios请求中的请求拦截器中做:(在数据请求发送之前判断)
jwtfilter过滤验证失败,然后前端跳转token值为零是哪里出了错误
最新发布
03-21
<think>嗯,我现在需要解决的是JWTFilter过滤验证失败后,前端跳转token值被设置为零的问题。让我先理清楚整个流程。 首先,JWTFilter通常负责在请求到达后端之前验证Token的有效性。如果验证失败,比如Token过期、签名错误或者被篡改,过滤器应该返回一个错误响应,让前端处理后续的跳转逻辑。但现在前端在跳转token被清零,这可能涉及到几个方面的问题。 可能的原因之一是后端在验证失败后,返回的响应中可能直接清除了Token,或者前端在接收到错误状态码后主动清除了Token。比如,后端可能在响应头或Body里添加了某个指令,让前端删除本地存储的Token。或者,前端代码在捕获到401或403状态码,执行了清除Token的操作,然后跳转到登录页。 另外,也有可能是后端在验证失败,不仅返回错误信息,还设置了某些Cookie或Header,导致前端自动清空Token。例如,如果后端在响应中设置了Set-Cookie头将token设置为空或过期,浏览器可能会自动删除该Cookie,导致前端读取得到零值。 还有可能是前端在处理错误响应,没有正确处理返回的数据,误将Token字段设置为零。比如,前端可能在接收到错误后,执行了类似localStorage.setItem('token', null)或者类似的代码,导致存储的值被覆盖为零或空值。 接下来,我需要分步骤检查。首先,查看JWTFilter的代码,看看在验证失败,后端返回了什么状态码和响应内容。是否在响应中明确修改了Token相关的数据?比如,是否调用了response.setHeader或者其他方法影响前端的Token存储。 然后,检查前端处理HTTP响应的拦截器部分。比如,在使用Axios的情况下,是否在响应拦截器中判断了状态码,并在401情况下清除Token。例如: ```javascript axios.interceptors.response.use(response => { return response; }, error => { if (error.response.status === 401) { localStorage.removeItem('token'); // 或者设置为null router.push('/login'); } return Promise.reject(error); }); ``` 如果有类似代码,就可能导致Token被清除。另外,如果后端返回的响应中包含特定的消息体,前端可能根据消息内容执行清除操作。 另一个可能性是跨域问题。如果前端和后端跨域,且Token存储在Cookie中,而后端在设置Cookie没有正确配置SameSite或Secure属性,可能导致浏览器拒绝保存或修改Cookie,从而出现意外情况。不过这种情况可能导致Token无法传递,而不是被清零。 还需要检查网络请求的响应内容,使用浏览器的开发者工具查看验证失败返回的响应头和响应体,确认是否有指示前端清除Token的指令。例如,响应头中是否有Set-Cookie: token=; expires=Thu, 01 Jan 1970 00:00:00 GMT这样的内容,这会直接让浏览器删除Cookie。 如果是本地存储(如localStorage或sessionStorage),则后端无法直接操作,必须由前端代码主动清除。因此,如果Token存储在这里,问题可能出在前端的错误处理逻辑上,比如在接收到特定错误码执行了清除操作。 总结可能的问题点: 1. 后端在验证失败返回了清除Token的指令(如Set-Cookie)。 2. 前端拦截器在收到错误状态码后主动清除Token。 3. 前端代码逻辑错误,在跳转前误将Token设置为零。 4. Token存储方式(Cookie/LocalStorage)的不同处理导致的问题。 解决步骤建议: 1. 检查JWTFilter的验证失败处理逻辑,确认是否返回了401/403状态码,以及响应头中是否有涉及Token的操作。 2. 检查前端HTTP拦截器代码,查看在接收到错误状态码处理逻辑,特别是是否有清除Token的代码。 3. 使用浏览器开发者工具查看网络请求的响应详情,确认后端返回的具体内容和头部信息。 4. 检查前端跳转前的代码,是否有显式设置Token为零的操作。 5. 如果是Cookie存储,检查后端是否在响应中设置了过期的Cookie导致浏览器删除。 如果确认是前端在错误处理主动清除,可能需要调整逻辑,仅在适当的候清除Token,比如在用户主动退出登录。如果是后端无意中设置了清除指令,需修改后端代码避免这种情况。此外,确保前后端在Token失效处理逻辑一致,比如返回特定的错误码,由前端决定如何处理Token。</think>### 问题分析:JWTFilter验证失败后前端Token被清零的可能原因 1. **后端响应触发前端清除Token** - **表现**:后端返回401/403状态码,前端拦截器自动清除Token。 - **检查点**: - 后端是否在响应头中设置`Set-Cookie: token=空值`(如过期间设为1970)? - 前端是否在拦截器中监听401/403状态码并执行`localStorage.removeItem('token')`? 2. **前端代码逻辑错误** - **表现**:前端在跳转登录页前,错误地将Token赋值为`null`或`0`。 - **检查点**: - 跳转代码中是否有类似`localStorage.setItem('token', null)`的操作? - Token存储类型是否被误转为数字(如`token=0`表示无效)? 3. **跨域或Cookie配置问题** - **表现**:跨域请求中Cookie被浏览器拦截,导致Token无法传递。 - **检查点**: - 后端是否配置`Access-Control-Allow-Credentials: true`和`Access-Control-Allow-Origin`为具体域名? - Cookie的`SameSite`和`Secure`属性是否与部署环境匹配(如HTTPS必须用Secure)? --- ### 逐步排查指南 #### 第一步:确认后端响应内容 1. **查看JWTFilter的验证失败处理逻辑** - 确保返回正确的状态码(如401),但**不要主动修改Token值**。 - 示例代码(Java): ```java response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); // 仅设置401,不操作Cookie/Header response.getWriter().write("Token验证失败"); ``` 2. **通过浏览器开发者工具检查网络响应** - 打开浏览器控制台 → Network → 找到失败的请求 → 查看**Response Headers**和**Cookies**: - 如果发现`Set-Cookie: token=...`,说明后端主动修改了Cookie。 - 检查响应Body是否包含额外指令(如`{ "code": 401, "clearToken": true }`)。 #### 第二步:检查前端拦截器和存储逻辑 1. **定位HTTP响应拦截器代码** - 示例(Axios): ```javascript axios.interceptors.response.use( response => response, error => { if (error.response.status === 401) { // 确认是否此处清除了Token localStorage.removeItem('token'); // 或设置为null/0 router.push('/login'); } return Promise.reject(error); } ); ``` - **修改建议**:仅跳转页面,暂不清除Token,观察是否仍被清零。 2. **检查Token存储方式** - **Cookie**:后端可能通过响应头修改。 - **localStorage/sessionStorage**:只有前端代码可操作。 - 搜索前端项目中所有`localStorage.setItem('token', ...)`的调用位置。 #### 第三步:验证Token传递流程 1. **正常登录流程** - Token如何存储?登录成功后是否正确写入? ```javascript // 正确示例:从响应数据获取Token并存储 login().then(res => { localStorage.setItem('token', res.data.token); }); ``` 2. **异常流程** - 在Token验证失败后,手动检查本地存储: - 触发401错误 → 不执行任何操作 → 检查Application(开发者工具)中的Token是否仍然存在。 - 如果Token被清除,说明前端有主动清除逻辑;否则可能是后端触发的。 --- ### 常见解决方案 1. **修复前端拦截器逻辑** - 仅在用户主动退出清除Token验证失败跳转: ```javascript // 修改拦截器代码 error => { if (error.response.status === 401) { router.push('/login'); // 先跳转,不清Token } } ``` 2. **后端避免操作Token** - 确保JWTFilter验证失败**不设置Cookie过期或空值**,仅返回状态码: ```java // 避免此类操作 Cookie cookie = new Cookie("token", null); cookie.setMaxAge(0); response.addCookie(cookie); ``` 3. **前后端统一Token失效策略** - 定义标准化错误码(如`{ code: 401, message: "请重新登录" }`),由前端决定是否清除Token。 --- ### 最终验证 1. **模拟Token失效** - 手动修改本地Token为错误值 → 触发请求 → 观察网络响应和前端行为。 - 若Token未清零,则问题可能出在后端;若清零,检查前端拦截器。 2. **日志调试** - 在关键位置添加日志: ```javascript // 前端拦截器 console.log('触发401,当前Token:', localStorage.getItem('token')); // 后端Filter System.out.println("验证失败,返回401"); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值