前后端分离不用session，前后端分离可以使用session吗

Server端的认证神器——JWT(一)

在前后端分离的现代应用中，实现服务端的认证至关重要以确保数据安全可靠地在用户与服务端之间传输。传统方法如基于 cookie 的认证（例如 session）和 token 认证（例如 JWT）各有利弊。

身份认证中，JWT被广泛用于简化用户登录流程，一旦用户成功登录，JWT将被包含在后续请求中，用于验证用户身份和访问权限。由于JWT传输轻量化，适合在不同域名的系统间传递，因此在单点登录（SSO）中应用广泛。信息交换方面，JWT通过加密对数据进行编码，确保传输过程中的安全性，防止信息被篡改。

为了解决上述问题，可以采用JWT格式，用户认证通过后会得到一个JWT令牌，JWT令牌中已经包含了用户相关的信息，客户端只需要携带JWT访问资源服务，资源服务根据事先约定的算法自行完成令牌校验，无需每次都请求认证服务完成校验。

密钥管理是 JWT 集成的关键，通常使用 OpenSSL 生成 x509 格式的公钥，并通过 JWKS（Json web Key Set）管理公钥集合。JWKS 可以存储在数据库中，用于资源服务器认证。在实际部署中，需要配置获取 JWK 的接口，确保资源服务器能访问到用于验证的公钥。

在OAuth0认证授权服务搭建中，JWT作为透明令牌，简化了令牌验证过程。首先，创建oauth2-auth-server-jwt模块，继承并修改上文关于OAuth0的代码。配置JWT相关的类，包括令牌增强类、令牌存储策略和签名密钥。

SpringBoot+vue跨域时sessionid不一致到底是怎么回事?

在开发前后端分离项目时，遇到了跨域问题，导致sessionid不一致，使得登录状态在成功后自动失效，再次请求时sessionid为NONE。 项目使用了flask作为后端服务器和Vue2作为前端框架，通过axiOS进行前后端交互。 经在线论坛研究，发现可能是跨域问题导致的。在flask端和Vue项目中分别配置了跨域策略。

对于前端来说，其任务是确保用户不会看到不应该看到的内容，如隐藏用户没有权限的按钮或页面，以提高用户体验。前端不应依赖于隐藏控件来实现权限管理，因为真正的数据安全管理是在后端实现的。在处理前端页面跳转问题时，我们可能会遇到用户直接在浏览器地址栏输入页面路径的情况。

springboot调整上传文件大小限制在做项目的时候，遇到这样的问题org.Springframework.web.multipart.MultipartException是上传文件大小大于默认大小了，springboot默认单次上传的文件不超过1M，如果要上传更大的文件需要在APPlication.yml文件中更改设置。

创建Vue项目首先，确保已经安装了node.js，若未安装，请从官网下载并按照指引完成安装。安装完成后，执行以下步骤：检查安装是否成功：输入`node -v`和`npm -v`，若显示版本号则安装成功。 使用淘宝NPM镜像：运行`npm install -g cnpm --registry=registry.npm.taobao.org`。

Django如何做数据验证(djangocsrftoken验证)

配置settings.py 安装依赖：确保安装了djangorestframework和djangorestframeworkjwt库。修改INSTALLED_AppS：在INSTALLED_appS中添加rest_framework和自定义应用app_name。关闭CSRF验证：注释掉CSRFViewMiddleware，以关闭Django自带的CSRF验证。

添加`rest_framework`和自定义应用`app_name`到`INSTALLED_APPS`。 注释掉`CSRFViewMiddleware`，以关闭Django自带的CSRF验证。 在`MIDDLEWARE`配置下方，添加`rest_framework.permissions.IsAuthenticated`，允许用户通过认证。

遇到Django中CSRF验证失败，可通过以下方法解决：首先，确保在html模板中正确添加了csrf_token标签。在HTML的head部分插入如下代码：这样做，Django会在模板中自动生成一个名为csrfmiddlewaretoken的隐藏域，在表单提交时自动添加CSRF令牌。其次，若不使用模板标签，可手动在表单中添加csrfmiddlewaretoken域。

在表单当中附加csrftoken 通过request请求中添加X-CSRFToken请求头。注意：Django默认对所有的POST请求都进行csrftoken验证，若验证失败则403错误侍候。

在Django开发中，了解csrf校验失败的处理流程是十分关键的。默认情况下，当csrf校验失败时，系统会调用_reject函数并返回一个预设的内容。该函数进一步调用_get_failure_view函数，获取settings.CSRF_FAILURE_VIEW配置项指向的视图函数。

前端实现单点登录(SSO)

1、前端实现单点登录主要依赖于后端服务和认证中心的支持，但前端也扮演着关键角色，主要通过以下方式实现：利用父域Cookie：方式：在前端，可以通过设置Cookie的domain属性为父域名，使得Session或Token可以在该父域名下的所有子域名中共享。限制：此方法不支持跨主域名。

2、首先，什么是单点登录（SSO）？它是通过一个统一的身份验证系统实现用户在多个应用程序或服务中的便捷登录。SSO的核心组件包括身份提供者（IdP）和服务提供者（SP）。其中，IdP负责管理用户认证信息，SP则依赖IdP验证用户身份，允许其访问特定服务。会话Cookie和Token是SSO中常用的会话管理方式。

3、单点登录（SSO）在现代应用程序中，是提供用户更佳体验的流行做法，允许用户使用一组凭证登录多个相关系统，避免重复输入账号密码。本文将详细探讨前端如何实现SSO，以及相关技术的示例。单点登录的核心组件包括身份提供者（IdP）和服务提供者（SP）。IdP负责维护和验证用户凭证，并授权访问其他服务。

4、单点登录全称Single Sign On（以下简称SSO），是指在多系统应用群中登录一个系统，便可在其他所有系统中得到授权而无需再次登录，包括单点登录与单点注销两部分1 登录 相比于单系统登录，sso需要一个独立的认证中心，只有认证中心能接受用户的用户名密码等安全信息，其他系统不提供登录入口，只接受认证中心的间接授权。

5、单点登录（SSO）是一种常见解决方案，用户只需登录一次即可访问所有信任的应用。在SSO体系中，用户、多个Web应用和一个SSO认证中心是关键角色。SSO实现遵循三个原则：统一认证、确认用户身份和信任关系的确立。常见的实现方式有基于cookies、经纪人、代理、令牌和SAML等。

6、单点登录（SSO）定义为，用户只需使用一组账号密码，或通过标准协议、第三方身份验证，即可访问所有被授权的系统，实现一次登录，畅行多个应用。单点登录主要实现方式有三种：通过session进行验证、通过cookie进行验证、以及通过token进行验证。