springboot集成shiro并利用jwt完成登录验证及权限验证

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: java springboot 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JEROCHAN/article/details/107207430
版权
本文介绍了如何在SpringBoot项目中集成Shiro,并利用JWT进行登录验证和权限验证。主要内容包括数据库设计、相关依赖的添加、配置类的编写,如UserRealm、JwtFilter和ShiroConfig类的实现,以及用户接口和登录接口的设计。通过使用JWT,避免了Shiro默认的session机制,实现了前后端分离的登录验证和权限控制。
摘要由CSDN通过智能技术生成

springboot集成shiro并利用jwt完成登录验证及权限验证

最近想在一个后台管理系统加上多角色多权限的功能,了解到了现有的安全框架后决定使用shiro,学习成本相对较低,而shiro默认使用session机制来实现用户的登录验证,而原先项目里面已使用jwt机制,并且前后端项目分离,所以对shiro加以改进。

数据库

首先在有用户表的前提下,需要有角色表和权限表,还有他们的关联表,在此简单的介绍下表结构,相信大家都会创建啦!

user   id,name
role   id,name
user_role user_id,role_id
menu   id,name,permisson
role_menu role_id,menu_id

依赖

maven添加shiro所需要的依赖包

  <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>

        <!-- shiro-core -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version> 1.5.3</version>
        </dependency>

配置类

是一个工具中间件就需要配置,按照springboot的机制,就使用注解来写配置类,在类上面添加@Configuration来声明是一个配置类,改为使用jwt认证其实就是需要做关闭shiro默认使用的session机制,和自定义一个过滤器,不使用shiro默认的authc过滤器

注入一个ShiroFilterFactoryBean,查看该类源码可知要传入的参数

private static final transient Logger log = LoggerFactory.getLogger(ShiroFilterFactoryBean.class);
private SecurityManager securityManager;
private Map<String, Filter> filters = new LinkedHashMap();
private Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
private String loginUrl;
private String successUrl;
private String unauthorizedUrl;
private AbstractShiroFilter instance;

 @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
   
        // 必须设置 SecurityManager
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        // setLoginUrl 如果不设置值,默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
        //前后端分离项目中该链接应该为后端接口的访问url,通过该接口返回需要登录的状态码,由前端跳转至登录页面
//        shiroFilter.setLoginUrl("/user/login");
        // 设置无权限时跳转的 url;
//        shiroFilter.setUnauthorizedUrl("/user/test");
        // 添加自己的过滤器并且取名为jwt
        LinkedHashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("jwt", this.jwtFilter());
        shiroFilter.setFilters(filterMap);
        // 设置拦截器
        Map<String, String> filterChainDefinitionMap  = new LinkedHashMap<>();
//        //anon:无参,开放权限,可以理解为匿名用户或游客
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/movie/listPage", "anon");
        filterChainDefinitionMap.put("/movie/info", "anon");
//        //其余接口一律拦截
//        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
//        //authc:无参,需要认证
        filterChainDefinitionMap.put("/**", "jwt");
        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilter;
    }

SecurityManager是一个安全管理器,这个类组合了登陆,登出,权限,session的处理,由于我们使用自己的jwt机制,所以要在这个类里面关闭shiro自带的session机制

 @Bean("securityManager")
    public SecurityManager securityManager(UserRealm userRealm) {
   
        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator
最低0.47元/天 解锁文章
Aoligeiei
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro实现登录验证授权
灰太狼
01-25 670
springboot整合shiro实现登录验证授权 1.添加依赖: <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version&gt
SpringBoot整合Shiro验证Jwt
m0_51382710的博客
11-14 342
使用SpringBoot整合Shiro对token进行校验
Spring Boot实战之Filter实现简单的Http Basic认证(*)
weixin_42408447的博客
11-16 932
Spring Boot实战之Filter 1.Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet chaining”(servlet 链). 一个Filter包括: 1)在servlet被调用之前截获; 2)在servl
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 876
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9761
springboot整合springsecurity实现用户登录认证和鉴权
springboot整合shiro
cqq00的博客
10-18 637
shiro认证授权
SpringBoot实现token验证JWTshiro的使用
代码解释生活
05-21 1962
vue的代码,设置请求头携带toke传递给后台; //设置请求拦截器,把token传递到后台 axios.interceptors.request.use(function(config){ // console.log(config.url) //打开进度条 // NProgress.start() config.headers.Authorization=window.sessionStorage.getItem('token'); return config; },function(.
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot项目中集成Shiro,可以轻松地处理用户的登录权限验证等安全问题。Shiro通过配置拦截器,可以对URL进行访问控制,实现权限的动态分配。 **Jwt** 是一种开放标准(RFC 7519),定义了一种紧凑的、自...
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
这个"springboot集成jwtshiro实现前后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现前后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWTShiro的使用技巧...
SpringBoot+shiro+redis+jwt .zip
01-03
5. `UserServiceImpl.java`:用户服务接口实现,负责用户登录权限验证等操作。 6. `RedisConfig.java`:`Redis`的相关配置,如连接池、序列化方式等。 7. `TokenManager.java`:JWT生成和验证的工具类,通常包括...
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
3. **配置Shiro**:配置Shiro Realm,利用pac4j进行认证,设置权限规则。 4. **生成JWT**:用户认证成功后,服务端生成JWT并返回给前端。 5. **前端处理JWT**:前端接收到JWT后,将其存储在本地,之后的请求携带该...
SpringBoot集成ShiroJWT 进行请求认证和权限校验
weixin_38982591的博客
01-15 1349
添加maven依赖 <!--JWT--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0...
Spring Boot中的安全过滤器及使用方法
程序员徐师兄的博客
07-06 966
安全过滤器是保护Web应用程序安全的重要组成部分。在Spring Boot中,我们可以使用Spring Security框架来实现安全过滤器。Spring Security提供了多种安全机制和安全服务,包括身份验证、授权、加密和安全过滤器等。我们可以使用Java配置或注解来配置安全过滤器,根据实际需求选择适当的过滤器,或组合使用多个过滤器,以实现更复杂的安全机制。
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息
qq_27437301的博客
11-22 887
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息。
springboot集成shiro使用JWT登录验证
qq_36306227的博客
10-19 426
shiro是使用session验证登录状态,想使用JWT登录验证,只需要重写shiro登录后的验证过滤器就能使用JWT 继承BasicHttpAuthenticationFilter过滤器,重写该类中的方法 import com.alibaba.fastjson.JSON; import com.project.User.entity.Result; import com.project.config.JWTToken; import org.apache.logging.log4j.LogManag
临时笔记
My_Tidy_Life的博客
11-13 389
权限-shiro 运行流程、 ①所有请求被自定义的Filter拦截(BasicHttpAuthenticationFilter),重写鉴权。 其中四个方法 preHandle(提供跨域支持)-&amp;gt;isAccessAllowed(可以区分登入与未登入的subject.isAuthenticated())-&amp;gt;isLoginAttempted(判断是否有令牌)-&amp;gt;executeLogin...
JWT的深入理解
qq_41973154的博客
07-12 369
JWT的特点是自包含的,减少了服务器端的存储和查找开销,并提供了无状态的身份验证机制。JWT的优势在于它是自包含的,即令牌本身携带了用户信息和验证信息,减少了对服务器端存储和查找用户信息的开销。需要注意的是,为了保证安全性,JWT的签名部分应该使用安全的密钥进行签名,并且需要进行合适的过期时间设置和刷新机制来保护令牌的安全性。需要注意的是,为了保证JWT的安全性,应使用安全的密钥对JWT进行签名,并根据需求设置适当的过期时间和刷新机制,以保护令牌的安全性。它是对头部和载荷进行签名的结果,使用私钥进行签名。
springboot集成shiro jwt
04-07
springboot集成shiro jwt是一种常见的安全认证机制,它将Spring Boot和Shiro框架结合使用,同时使用JWT(JSON Web Token)进行身份认证和授权管理。JWT是一种安全的身份验证机制,通过使用数字签名,可以确保身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值