前后端分离SpringBoot整合shiro,使用JWT进行验证

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量1k 收藏 2
点赞数
分类专栏: IDEA SpringBoot shiro JWT 文章标签: JWT shiro SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN1642816671/article/details/98517791
版权
IDEA 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
SpringBoot
3 篇文章 0 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

今天的主要任务是将权限和安全管理搭建完成,首先是在pom中引入相关的jar包

然后在指定的位置创建文件

ShiroConfig是指定shiro注入关系的配置类,这里我直接贴出代码

package com.mansh.vschool.config;

import com.mansh.vschool.custom.DatabaseRealm;
import com.mansh.vschool.custom.JWTFilter;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.mgt.SessionStorageEvaluator;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.mgt.DefaultWebSessionStorageEvaluator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean("lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        hashedCredentialsMatcher.setHashIterations(2);
        return hashedCredentialsMatcher;
    }

    @Bean
    public DatabaseRealm getDatabaseRealm(){
        DatabaseRealm myShiroRealm = new DatabaseRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

    @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getDatabaseRealm());
        return securityManager;
    }

    @Bean
    protected ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        chainDefinition.addPathDefinition("/login", "noSessionCreation,anon");
        chainDefinition.addPathDefinition("/**", "noSessionCreation,JWTToken");
        return chainDefinition;
    }

    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
        filterFactory.setSecurityManager(securityManager);
        Map<String, Filter> filterMap = filterFactory.getFilters();
        filterMap.put("JWTToken",new JWTFilter());
        filterFactory.setFilters(filterMap);
        filterFactory.setFilterChainDefinitionMap(shiroFilterChainDefinition().getFilterChainMap());

        return filterFactory;
    }

    @Bean
    public SessionStorageEvaluator sessionStorageEvaluator(){
        DefaultWebSessionStorageEvaluator sessionStorageEvaluator = new DefaultWebSessionStorageEvaluator();
        sessionStorageEvaluator.setSessionStorageEnabled(false);
        return sessionStorageEvaluator;
    }
}

JWTUtils是工具类,封装了对JWT的创建,读取,检验各种操作

package com.mansh.vschool.utils;

import cn.hutool.core.date.DateField;
import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.IdUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Component
@Slf4j
public class JWTUtils {
    @Autowired
    private RedisUtils redisUtils;

    public String createToken() throws UnsupportedEncodingException {
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        Date now = new Date();

        String token = JWT.create()
                .withHeader(map)
                .withIssuer("mansh")
                .withSubject("vschool")
                .withIssuedAt(now)
                .withExpiresAt(expireDate(now,0,0,0,0,10,0))
                .sign(Algorithm.HMAC256("HMS256"));
        return token;
    }

    public String createTokenWithClaim(Map<String,String> claims) throws UnsupportedEncodingException {
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        Date now = new Date();

        JWTCreator.Builder builder = JWT.create();
        for(Map.Entry entry:claims.entrySet()){
            builder.withClaim((String)entry.getKey(),(String)entry.getValue());
        }
        builder.withHeader(map)
                .withIssuer("mansh")
                .withSubject("vschool")
                .withIssuedAt(now)
                .withExpiresAt(expireDate(now,0,0,0,0,10,0));
        String secret = IdUtil.simpleUUID();
        String token = builder.sign(Algorithm.HMAC256(secret));
        redisUtils.set(token+"-secret",secret);
        return token;
    }

    /**
     * 验证token的签名 防止伪造
     * @param token
     * @return
     */
    public DecodedJWT verify(String token){
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256((String)redisUtils.get(token+"-secret")))
                    .withIssuer("mansh")
                    .build();
            jwt = verifier.verify(token);
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            log.error(e.getMessage());
            throw e;
        } catch (Exception e){
            e.printStackTrace();
            log.error(e.getMessage());
        }
        return jwt;
    }

    public String get(String token,String name){
        DecodedJWT decodedJWT = JWT.decode(token);
        String re = "";
        Map claims = decodedJWT.getClaims();
        if(claims.containsKey(name)){
            re = decodedJWT.getClaim(name).asString();
        }
        return re;
    }

    public Date expireDate(Date now,int year,int month,int day,int hour,int minute,int second){
        if(now == null){
            now = new Date();
        }
        if(year != 0){
            now = DateUtil.offset(now, DateField.YEAR,year);
        }
        if(month != 0){
            now = DateUtil.offset(now, DateField.MONTH,month);
        }
        if(day != 0){
            now = DateUtil.offset(now, DateField.DAY_OF_MONTH,day);
        }
        if(hour != 0){
            now = DateUtil.offset(now, DateField.HOUR_OF_DAY,hour);
        }
        if(minute != 0){
            now = DateUtil.offset(now, DateField.MINUTE,minute);
        }
        if(second != 0){
            now = DateUtil.offset(now, DateField.SECOND,second);
        }
        return now;
    }
}

JWTFilter是一个Filter,主要任务是每次请求过来的时候进行检验的

package com.mansh.vschool.custom;

import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.mansh.vschool.user.service.IMshUserService;
import com.mansh.vschool.utils.JWTUtils;
import com.mansh.vschool.utils.RedisUtils;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.springframework.beans.factory.annotation.Autowired;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.util.List;

@Slf4j
public class JWTFilter extends FormAuthenticationFilter {
    @Autowired
    private JWTUtils jwtUtils;
    @Autowired
    private RedisUtils redisUtils;
    @Autowired
    private IMshUserService userService;
    @Autowired
    private ParamConst paramConst;

    @Override
    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue){
        HttpServletRequest req = (HttpServletRequest)request;
        String URI = req.getRequestURI();
        String token = req.getHeader("authToken");
        try {
            DecodedJWT decodedJwt = jwtUtils.verify(token);
            if(decodedJwt == null){
                //token被篡改
                return false;
            }else{
                //token正常,检测是否超时
                if(checkTimeOut(token)){
                    //已超时
                    return false;
                }else{
                    //未超时,验证角色权限
                    return checkAuth(token,URI);
                }
            }

        } catch (TokenExpiredException e) {
            //token失效 但是还在刷新时间内的情况
            if(checkTimeOut(token)){
                //已超时
                return false;
            }else{
                //未超时,验证角色权限,重发token
                //TODO 重发逻辑待定,需要前端配合修改
                return checkAuth(token,URI);
            }
        }
    }

    public boolean checkTimeOut(String token){
        long lastReflushDate = (long)redisUtils.get(token+"-reflushDate");
        return System.currentTimeMillis() - lastReflushDate > Long.parseLong(paramConst.getTokenTimeOut());
    }

    public boolean checkAuth(String token,String URI){
        List<String> privList = userService.getPrivListByName(jwtUtils.get(token,"userName"));
        for(String priv:privList){
            if(URI.equals(priv)){
                //有权限 更新访问时间 通过验证
                redisUtils.del(token+"-reflushDate");
                redisUtils.set(token+"-reflushDate",System.currentTimeMillis());
                return true;
            }
        }
        return false;
    }
}

我用一张图简单描述一下我的思路,做一下记录

 

今天仅仅完成到这个程度,以后再使用的过程中如果发现bug在进行调整吧

发光的树
关注
专栏目录
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 3043
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
Shiro JWT shiro自定义filter实现前置拦截获取header中的token,并且放行登录和注册接口
Falser101的博客
09-06 1987
1.自定义filter @Slf4j public class ShiroFilter extends FormAuthenticationFilter { @Autowired(required = false) private RedisUtils redisUtils; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Objec
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1183
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiro学习笔记
Weishaolei0818的博客
10-11 264
shiro默认的登录认证是不带加密的,如果要实现加密认证需要自定义登录认证,自定义realm//自定义登入认证方法,shiro的login方法底层会调用该类的认证方法进行认证 //需要配置自定义的Realm生效,在ini文件中配置。
SpringBoot 整合 Shiro 权限框架
qq_54429571的博客
11-23 1371
SpringBoot 整合 Shiro 权限框架:Shiro概述、功能及架构、环境搭建登录、退出、授权、角色认证实现、多个 realm 的认证策略设置、会话管理等。
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1098
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro中处理。
Spring boot整合shiro+jwt实现前后端分离
08-25
本文将介绍如何使用 Spring Boot 框架整合 ShiroJWT 实现前后端分离。 一、Shiro 简介 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会维护。Shiro 提供了身份验证、授权、会话管理、加密等功能,...
shiro-jwt-springbootshiro合并jwt进行分离权限认证示例
01-29
这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证进行初步的分离。 首先,我们来了解JWTJWT是一种轻量级的身份验证标准,它允许用户信息以安全、紧凑的方式在网络中传递。一个JWT...
springboot集成jwtshiro实现前后端分离权限demo
04-04
本示例项目“springboot集成jwtshiro实现前后端分离权限demo”旨在帮助初学者理解如何在Spring Boot环境下结合JWT(JSON Web Token)和Shiro进行权限管理,以实现安全的Web应用。下面将详细介绍相关的知识点。 **...
SpringBootShiroJWT,Vue & Ant Design 前后端分离权限管理系统,预览地址.zip
02-22
这是一个基于现代技术栈的前后端分离权限管理系统的实现,整合SpringBootShiroJWT(JSON Web Token)以及前端的Vue.js和Ant Design。这个系统旨在提供安全、高效的用户认证和授权机制,同时实现了优雅的用户...
springboot+shiro(自定义拦截器)+jwt实现前后端分离权限管理
点点的博客
07-13 4297
说明:前后端不分离的时候springboot+shiro可以实现有状态服务,前后端分离后工程就变成无状态服务,本文直接代码解决工程无状态问题。 一:前期准备工作 引入maven <!--token验证 jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9
Springboot实战:Shiro+jwt前后端分离超详细教程(附git源码下载)
dingdingdandan
05-23 2109
Springboot-cli 开发脚手架系列 文章目录Springboot-cli 开发脚手架系列简介1. Springboot实战完整教程2. 封装jwt工具3. shiroJWT整合4. 开启跨域支持5. 登录注册实战6. 效果演示7. 源码分享 简介 Springboo配置Shiro+jwt进行登录校验,权限认证,附demo演示。 什么是JWT jwt 全称JSON Web Tokens,是目前最流行的跨域身份验证解决方案。 验证流程 这种基于token的认证方式相比传统的ses
Spring boot整合shiro+jwt 实现前后端分离
qq_38085977的博客
05-09 1万+
这里内容很少很多都为贴的代码,具体内容我经过了看源码和帖子加了注释。帖子就没用太多的内容 先下载shirojwt的jar包 <!-- shiro包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</a...
Shiro+JWT 前后端分离方案
twx843571091的博客
05-17 3826
Shiro+JWT 前后端分离方案 理论的东西就不说了,网上一大堆教程。 因为我本身web应用做得比较多,所以本篇文章主要是结合SpringBoot来讲解。当然shiro也是支持standlon模式使用的(可以参考我的另一篇文章 自定义Realm) 使用SpringBoot,最优的依赖方案是shiro-spring-boot-starter <dependency> <groupId>org.apache.shiro</groupId> <artifactI
前后端分离 shiro+jwt
青春不打烊的博客
12-05 526
最近在弄前后端的项目,涉及到token验证的问题,记录一下。 shiro框架是公司提前配好的,详细的可以去看下配置文档,我这边只记录一下如何配置jwt。 首先添加maven的依赖包: <dependency> <!-- JSON Web Token Support --> <groupId>i...
前后端分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
前后端分离权限设计方案:shiro+redis+jwt
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
springboot 整合 shirojwt
04-11
当然可以,SpringBoot结合ShiroJWT可以实现安全的用户认证和授权。Shiro是一个强大的安全框架,可以提供身份验证、授权、会话管理等功能。JWT是JSON Web Token的缩写,是一种安全的身份验证方案。结合ShiroJWT,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值