Spring Security及Shiro整合JWT 网上教程的一些坑!

最新推荐文章于 2023-05-28 20:54:22 发布
最新推荐文章于 2023-05-28 20:54:22 发布
阅读量229 收藏
点赞数
文章标签: spring java json web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candour_0/article/details/128666282
版权

今日主要在搭建一个新的项目,原先项目已采用Shiro JWT的方式实现登陆,为了丰富新项目权限控制的功能,采用Spring Security进行权限控制。希望2套系统通过JWT达到单点登陆的目的。由于项目规模过小,以快速开发为目的,所以不采用统一的auth服务器。但在进行构建时候,参考网上一些教程,发现网上常见的教程存在诸多问题。大多数文章都是copy同一篇文章,问题一直遗留。所以决定写一下这篇文章供大家参考。如果有错误的地方,希望大家能给我指正。

JWT介绍

什么是JWT

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。

JWT结构格式

JSON Web Tokens由点(.)分隔的三个部分组成,它们是:

1.Header:头信息通常由两部分组成:令牌的类型,即JWT,以及正在使用的签名算法,例如HMAC SHA256或RSA。

{"alg": "HS256",//签名或摘要算法"typ": "JWT"//token类型
}

2.Playload 有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

{"iss": "token-server",//签发者"exp ": "Mon Nov 13 15:28:41 CST 2017",//过期时间"sub ": "wangjie",//用户名"aud": "web-server-1"//接收方,"nbf": "Mon Nov 13 15:40:12 CST 2017",//这个时间之前token不可用"jat": "Mon Nov 13 15:20:41 CST 2017",//签发时间"jti": "0023",//令牌id标识"claim": {“auth”:”ROLE_ADMIN”}//访问主张
}

3.Signature 签名信息:为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

JSON Web令牌如何工作?

每当用户想要访问受保护的路由或资源时,用户代理应该使用承载模式发送JWT,通常在Authorization标头中。标题的内容应如下所示:

Authorization: Bearer <token>

在某些情况下,这可以是无状态授权机制。服务器的受保护路由将检查Authorization标头中的有效JWT ,如果存在,则允许用户访问受保护资源。如果JWT包含必要的数据,则可以减少查询数据库以进行某些操作的需要,尽管可能并非总是如此。

Shiro整合JWT教程

教材原帖地址:juejin.cn/post/684490…

问题指正1

public class JWTUtil {问题代码/** * 校验token是否正确 * @param token 密钥 * @param secret 用户的密码 * @return 是否正确 */public static boolean verify(String token, String username, String secret) {try {Algorithm algorithm = Algorithm.HMAC256(secret);JWTVerifier verifier = JWT.require(algorithm).withClaim("username", username).build();DecodedJWT jwt = verifier.verify(token);return true;} catch (Exception exception) {return false;}}修订后代码token中已经包含Playload信息(username),此处进行校验不需要再传入usernamepublic static boolean verify(String token, String username, String secret) {try {Algorithm algorithm = Algorithm.HMAC256(secret);JWTVerifier verifier = JWT.require(algorithm).build();DecodedJWT jwt = verifier.verify(token);return true;} catch (Exception exception) {return false;}}

问题2 @RestControllerAdvice无法捕获Shiro异常

public class JWTFilter extends BasicHttpAuthenticationFilter {/** * 将非法请求返回json */@Overrideprotected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {HttpServletResponse httpResponse = WebUtils.toHttp(response);httpResponse.setCharacterEncoding("UTF-8");httpResponse.setContentType("application/json;charset=utf-8");httpResponse.setStatus(HttpServletResponse.SC_OK);httpResponse.getWriter().write("{\"code\":401,\"msg\":\"未授权!\",\"ret\":false}");return false;}
}

Spring Security整合JWT

教材原帖地址:juejin.cn/post/684490… (PS:绝大多数教材和该贴类似)

问题代码

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request,HttpServletResponse response,FilterChain chain) throws ServletException, IOException {String authHeader = request.getHeader(this.tokenHeader);if (authHeader != null && authHeader.startsWith(tokenHead)) {final String authToken = authHeader.substring(tokenHead.length()); // The part after "Bearer "String username = jwtTokenUtil.getUsernameFromToken(authToken);logger.info("checking authentication " + username);if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);//重点观察此处 从token中得到了用户名,再通过用户名从数据库中获取用户的详细信息//接下来我们看一下jwtTokenUtil.validateToken()到底做了什么事if (jwtTokenUtil.validateToken(authToken, userDetails)) {UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));logger.info("authenticated user " + username + ", setting security context");SecurityContextHolder.getContext().setAuthentication(authentication);}}}chain.doFilter(request, response);}
}

@Component
public class JwtTokenUtil implements Serializable {/** * 验证令牌 */public Boolean validateToken(String token, UserDetails userDetails) {JwtUser user = (JwtUser) userDetails;String username = getUsernameFromToken(token);//这里我看得一脸懵逼 不应该是校验token的合法性。//这里居然用数据库中查到的username 和token的username比较。而数据中查询的username又是通过token的来的。//所以这段代码有错误return (username.equals(user.getUsername()) && !isTokenExpired(token));}
}

一些疑问

1.com.auth0/java-jwt 3.3.0和 io.jsonwebtoken / jjwt / 0.9.0 确保token中的Header,Playload(连参数顺序都一样)但是2个包获得的token不能认证通过。 目前我的做法是 全部替换为com.auth0/java-jwt来使用

JWT官网介绍

网络安全大菠萝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWTJSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
Spring Security+JWT实现权限管理
LC的博客
03-14 4375
SpringSecurityspring全家桶中的一个安全管理框架,类似于shiro,但是比shiro功能更加的丰富。 主要核心功能是 认证 和 授权 : 认证:验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、快速入门 1.1初探 引入Spring Security的依赖 <!-- springsecurity--> <dependency> <groupId&g
SpringSecurity + JWT(前后端分离)
HGW的博客
09-30 5230
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。
@RestControllerAdvice作用及原理
az44yao的专栏
07-19 2743
创建MyControllerAdvice,并添加@ControllerAdvice注解。/***controller增强器*//***应用到所有@RequestMapping注解方法,在其执行之前初始化数据绑定器*//***把值绑定到Model中,使全局@RequestMapping可以获取到该值*/}/***全局异常捕捉处理*@return*/returnmap;}Model}//或者通过@ModelAttribute获取。...
SpringSecurity设置JWT token令牌,权限控制
m0_52149675的博客
03-15 1256
SpringSecurity设置JWT token令牌,权限控制
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5054
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
springboot2.0+shiro+jwt+redis+swagger+layui+thymeleaf
11-02
基于spring boot 2.1.6、shirojwt、redis、swagger2、mybatis 、thymeleaf、layui 后台管理系统, 权限控制的方式为 RBAC。代码通熟易懂 、JWT(无状态token)过期自动刷新,数据全程 ajax 获取,封装 ajax 工具类...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
本文将详细介绍如何在Spring Boot项目中集成JWTShiro,以及如何处理Realm中的异常。 首先,JWT是一种轻量级的身份认证协议,它允许我们在客户端和服务器之间安全地传输信息。JWT由三部分组成:头部、载荷和签名。...
SpringSecurityshiro的使用
10-07
Spring SecurityShiro的使用 Spring SecurityShiro都是流行的Java安全框架,用于保护Web应用程序免受未经授权的访问。下面我们将分别介绍Spring SecurityShiro的使用。 Shiro框架 Shiro是一个轻量级的安全...
springsecurityshiro
05-27
Spring Security和Apache Shiro都是Java领域内的主流安全框架,它们提供了一整套解决方案来保护应用程序免受未经授权的访问和攻击。让我们详细探讨这两个框架的核心概念、功能以及它们如何帮助开发者实现安全性。 ...
一文搞懂SpringSecurity+JWT前后端分离~
热门推荐
weixin_45647685的博客
04-27 1万+
1、简介 SpringSecurity属于Spring家族中的一款安全管理框架,,它提供了一套Web应用安全性的完整解决方案。主要的功能是认证和授权。 **认证 *验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。 **授权 *经过认证后判断当前用户是否有权限进行某个操作。 2、快速入门 2.1、创建一个SpringBoot工程 1、先创建一个最基本的SpringBoot工程,配置好相关数据库,并且编写一个Controller进行测试。 ① 导入依赖 ...
SpringBoot Rest API实现统一异常处理
javaTalk
10-24 1019
使用 @RestControllerAdvice 替换 @ControllerAdvice和@ResponseBody。程序在运行的过程中难免会出现异常,如果不对异常处理很容易暴露堆栈信息,发生信息泄露事件。2 相同的异常处理逻辑放在一个地方统一处理,能保证逻辑的统一性。也可以在异常处理程序方法中返回自定义对象。1 异常处理逻辑应该与业务逻辑剥离开来,单独处理。注释来注释异常处理程序方法。3 系统中异常处理逻辑可以复用和统一维护。一 为什么需要统一异常处理。二 如何实现统一异常处理。为什么统一异常处理?
使用 Spring Boot、Spring SecurityJWT 保护 REST 端点
最新发布
orton777的博客
05-28 49
端点进行登录,获取 JWT 令牌。在访问受保护的 REST 端点时,需要在请求头中添加。JWT 认证过滤器会验证令牌并设置用户身份。
@RestControllerAdvice注解;有点架构的感觉了
cpxsxn的博客
12-07 702
@RestControllerAdvice注解在做前后端分离的项目时,后端业务通常会使用多个微服务,我们希望在每一个微服务的调用接口返回给前端的结果都是统一的数据结构,如: 在上面的结构中,有请求是否成功标识-successful,其值为boolean类型;有服务处理结果编码-code,其值为String,可以封装自定义编码,也可以使用HttpStatus;有服务处理结果文本信息message;还有业务返回数据-data,其值类型为Object,即可以返回String、List、对象信息等等。定义统一的返回
@ControllerAdvice 与 @RestControllerAdvice
醉逸鎏年的博客
09-30 4152
@ControllerAdvice 与 @RestControllerAdvice
前后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
weixin_45677046的博客
12-16 1104
前后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
SpringBoot整合SpringSecurityShiro
390396010
08-29 2921
ShiroSpringSecurity
ShiroSpringSecurity(安全框架)
Apr_ding的博客
07-17 278
ShiroSpringScurity整合SpringBoot
SpringSecurity】【JJWT】JJWTLocalDateTime
Confused_的博客
05-12 632
JJWT生成JWT错误~ LocalDateTime序列化问题....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值