JS如何与SpringOAuth2安全认证配合_JS与SpringOAuth2安全认证配合的教程

星夢妙者

发布时间：2025-11-09 19:30:04

486人浏览过

来源于php中文网

原创

前端通过OAuth2授权码模式+PKCE跳转登录，获取access_token后在请求头携带Bearer Token访问受Spring Security保护的API，后端配置JWT资源服务器验证令牌并启用CORS支持跨域。

js如何与springoauth2安全认证配合_js与springoauth2安全认证配合的教程

JavaScript前端应用与Spring Boot后端集成OAuth2安全认证，是现代全栈开发中的常见需求。通常前端使用JS（如Vue、React或原生JS）发起请求，后端使用Spring Security + OAuth2进行权限控制。下面介绍如何让JS与Spring OAuth2协同工作，实现安全的用户登录和资源访问。

理解整体架构

在典型的前后端分离项目中：

前端（JS）运行在浏览器中，负责展示界面并与用户交互
后端（Spring Boot）暴露REST API，通过Spring Security和OAuth2保护接口
认证服务器负责颁发token（可以是独立服务，也可以内嵌在Spring应用中）

常见的流程是：用户在前端点击“登录”，跳转到OAuth2授权服务器（如Google、GitHub或自建），授权后获取access_token，后续请求携带该token访问受保护的API。

配置Spring Boot OAuth2资源服务器

确保你的Spring Boot应用正确配置为OAuth2资源服务器，能验证JWT格式的access token。

application.yml 示例：

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:8080/auth/realms/your-realm
          # 或者指定 jwk-set-uri

添加依赖（Maven）：


    org.springframework.boot
    spring-boot-starter-oauth2-resource-server

启用Security配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(authz ->
            authz.requestMatchers("/public/**").permitAll()
                  .anyRequest().authenticated()
        );
        http.oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt);
        return http.build();
    }
}

前端JS如何处理OAuth2登录与请求

由于浏览器安全限制，不推荐在JS中直接处理client_secret等敏感信息。应采用授权码模式 + PKCE，适合单页应用（SPA）。

Revid AI

AI短视频生成平台

下载

使用官方推荐库如 openid-client 或更轻量的 simple-oauth2，但更推荐使用 Auth.js（原NextAuth）或 OAuth2-Client 库简化流程。

一个简单的JS登录跳转示例：

function login() {
  const clientId = 'your-spa-client-id';
  const redirectUri = 'https://www.php.cn/link/c7e07c312fd6bafc9f5192b3dfdf3d3f';
  const scope = 'openid profile email';
  const state = generateRandomString();
  const codeVerifier = generateCodeVerifier(); // PKCE用
  const codeChallenge = base64UrlEncode(sha256(codeVerifier));
// 存储codeVerifier以便回调时使用
sessionStorage.setItem('code_verifier', codeVerifier);
const authUrl = new URL('https://www.php.cn/link/90918c5b8c17f80e32d5b155a7bf6197');
authUrl.searchParams.append('client_id', clientId);
authUrl.searchParams.append('response_type', 'code');
authUrl.searchParams.append('scope', scope);
authUrl.searchParams.append('redirect_uri', redirectUri);
authUrl.searchParams.append('state', state);
authUrl.searchParams.append('code_challenge', codeChallenge);
authUrl.searchParams.append('code_challenge_method', 'S256');
window.location.href = authUrl.toString();
}

回调页面（callback.html）处理授权码并换取token：

// 假设URL中包含 ?code=xxx&state=yyy
const urlParams = new URLSearchParams(window.location.search);
const code = urlParams.get('code');
if (code) {
const codeVerifier = sessionStorage.getItem('code_verifier');
fetch('https://www.php.cn/link/d996e31032e7c288d7e20e7b82221c20', {
method: 'POST',
headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
body: new URLSearchParams({
grant_type: 'authorization_code',
client_id: 'your-spa-client-id',
code: code,
redirect_uri: 'https://www.php.cn/link/c7e07c312fd6bafc9f5192b3dfdf3d3f',
code_verifier: codeVerifier
})
})
.then(response => response.json())
.then(data => {
localStorage.setItem('access_token', data.access_token);
window.location.href = '/dashboard.html';
});
}

JS发起受保护的API请求

每次调用Spring保护的接口时，在请求头中带上access token：

fetch('http://localhost:8080/api/user/profile', {
  method: 'GET',
  headers: {
    'Authorization': 'Bearer ' + localStorage.getItem('access_token')
  }
})
.then(response => {
  if (response.status === 401) {
    // token过期，重新登录
    window.location.href = '/login.html';
  }
  return response.json();
})
.then(data => console.log(data));

建议封装一个API客户端，自动附加token：

function apiGet(url) {
  return fetch(url, {
    headers: {
      'Authorization': 'Bearer ' + localStorage.getItem('access_token')
    }
  });
}

基本上就这些。只要前后端约定好token传递方式，Spring会自动解析JWT并建立安全上下文。注意跨域问题需在后端配置CORS，允许前端域名访问。

InDesign脚本：动态替换文本框内容并应用字符样式

掌控Intro.js引导：在提示消息中注入自定义HTML

动态网页背景切换与本地存储实践

JavaScript中动态管理对象内数组：避免push错误的教程

JavaScript热键增强日期输入效率：原理与实践

相关专题

js获取数组长度的方法

在js中，可以利用array对象的length属性来获取数组长度，该属性可设置或返回数组中元素的数目，只需要使用“array.length”语句即可返回表示数组对象的元素个数的数值，也就是长度值。php中文网还提供JavaScript数组的相关下载、相关课程等内容，供大家免费下载使用。

541

2023.06.20

js刷新当前页面

js刷新当前页面的方法：1、reload方法，该方法强迫浏览器刷新当前页面，语法为“location.reload([bForceGet]) ”；2、replace方法，该方法通过指定URL替换当前缓存在历史里（客户端）的项目，因此当使用replace方法之后，不能通过“前进”和“后退”来访问已经被替换的URL，语法为“location.replace(URL) ”。php中文网为大家带来了js刷新当前页面的相关知识、以及相关文章等内容

372

2023.07.04

js四舍五入

js四舍五入的方法：1、tofixed方法，可把 Number 四舍五入为指定小数位数的数字；2、round() 方法，可把一个数字舍入为最接近的整数。php中文网为大家带来了js四舍五入的相关知识、以及相关文章等内容

727

2023.07.04

js删除节点的方法

js删除节点的方法有：1、removeChild()方法，用于从父节点中移除指定的子节点，它需要两个参数，第一个参数是要删除的子节点，第二个参数是父节点；2、parentNode.removeChild()方法，可以直接通过父节点调用来删除子节点；3、remove()方法，可以直接删除节点，而无需指定父节点；4、innerHTML属性，用于删除节点的内容。

470

2023.09.01

JavaScript转义字符

JavaScript中的转义字符是反斜杠和引号，可以在字符串中表示特殊字符或改变字符的含义。本专题为大家提供转义字符相关的文章、下载、课程内容，供大家免费下载体验。

391

2023.09.04

js生成随机数的方法

js生成随机数的方法有：1、使用random函数生成0-1之间的随机数；2、使用random函数和特定范围来生成随机整数；3、使用random函数和round函数生成0-99之间的随机整数；4、使用random函数和其他函数生成更复杂的随机数；5、使用random函数和其他函数生成范围内的随机小数；6、使用random函数和其他函数生成范围内的随机整数或小数。

990

2023.09.04

如何启用JavaScript

JavaScript启用方法有内联脚本、内部脚本、外部脚本和异步加载。详细介绍：1、内联脚本是将JavaScript代码直接嵌入到HTML标签中；2、内部脚本是将JavaScript代码放置在HTML文件的`<script>`标签中；3、外部脚本是将JavaScript代码放置在一个独立的文件；4、外部脚本是将JavaScript代码放置在一个独立的文件。

653

2023.09.12

Js中Symbol类详解

javascript中的Symbol数据类型是一种基本数据类型，用于表示独一无二的值。Symbol的特点：1、独一无二，每个Symbol值都是唯一的，不会与其他任何值相等；2、不可变性，Symbol值一旦创建，就不能修改或者重新赋值；3、隐藏性，Symbol值不会被隐式转换为其他类型；4、无法枚举，Symbol值作为对象的属性名时，默认是不可枚举的。

544

2023.09.20