介绍

在前后端不分离时，我们利用前面讲过的Spring Security的各种知识点，就可以实现对项目的权限管控。但是在前后端分离时，尤其是在引入了Spring Security后的前后端分离时，我们从前端发来的请求，就会存在一些问题。这些问题就是跨域而导致的问题！

跨域问题的产生，源自浏览器的一个同源策略。

同源策略

是由 Netscape 提出的一个著名的安全策略，它是浏览器最核心也是最基本的安全功能，所有支持 JavaScript 的浏览器都会使用这个策略。在同源策略中，要求 域名、协议、端口 3部分都要相同。

举例来说，http://www.yiyige.com:80/dir/syc.html这个网址，http是协议，www.yiyige.com是域名，80是端口号(80端口号默认可以省略)。同源策略具体规则如下表：

也就是说如果域名、协议、端口号三者之间，只要有一个不同，就认为不是一个网站，也就可能会存在跨域问题。

Claims

"Claims" 是 JSON Web Tokens (JWT) 中的一个重要概念。一个JWT通常包含一组声明（claims），这些声明是关于实体（通常是用户）和其他数据的声明性语句。Claims提供了关于JWT中包含的信息的有关信息。

Claims是关于实体（通常是用户）和其他实体（例如角色或权限）的声明的集合。每个声明都是一个键值对，其中键是声明的名称，值是与该声明相关的信息。例如，一个声明可以是用户的角色，另一个声明可以是用户的电子邮件地址。

Claims中的信息通常被编码为JSON对象，并包含在JWT的负载部分。这些声明提供了关于令牌的有关信息，例如用户身份、角色、权限以及其他相关信息。当验证JWT时，你可以检查这些声明以确保令牌是有效的，并根据需要使用它们来实现身份验证和授权逻辑。

在Java中，我们可以使用第三方库，如"jjwt"来创建和解析JWT令牌，其中包含了Claims

JWT

JWT的结构

我们看JWT是由三部分组成的，大致分为x,y,z

• 第一部分(x)：表示header，标头
• 第二部分(y)：表示payload，负载
• 第三部分(z)：表示signature，签名

所以token的结构式标头.负载.签名

header 标头

标头通常由两部分组成，令牌的类型(JWT)和所使用的签名算法(RSA、SHA)，

{
    "alg":"HS256",
    "typ":"JWT"
}

Payload 负载

令牌的第二部分是有效负载，其中包含声明，声明是有关实体（通常使用户或者其他实体的声明）

{
    "name":"zhangsan",
    "sub":"123456789",
    "admin":"true"
}

Signature 签名

        前面两部分都是使用Base64进行编码的，及前端可以被解开token里的信息，Signature需要使用编码后的header和payload以及我们提供的一个密钥，然后使用header所声明的签名算法进行签名。作用是保证JWT没被篡改。

封装工具类

使用JWT时，需要频繁进行JWT的生成、验证和可能的续签操作。为了提高代码的可维护性和重用性，通常建议创建一个封装JWT操作的工具类或库

这种封装可以提高代码的可读性和可维护性，同时也可以确保在整个应用程序中一致地处理JWT操作，减少错误和安全漏洞的风险。这个工具类可以根据你的具体应用需求来设计和实现，并可以与你的认证和授权逻辑集成在一起。

拦截器

在真正的开发中。因为，每次登录访问资源都要去校验Token。所以，如果在单体架构中，我们可以使用拦截器去操作，