【Spring boot】Shiro + JWT 搭建无状态 RESTful 架构

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量1.7k 收藏 12
点赞数 3
分类专栏: Springboot 文章标签: Shiro JWT Spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Knove/article/details/88930380
版权

技术栈:Spring boot + Shiro +JWT 

先说一下 Spring security 和 Shiro ,从这两者选择的时候最后还是选择了Shiro,原因是Spring security 偏重,适合大型企业项目,而且现在用Shiro的也不少。网上这两个的对比文章还是很多的,这里就不赘述。

Shiro默认实现的是session形式,也就是有状态的。我们要改变一些东西,来实现无状态的RESTful 架构~

1.  pom.xml

只需要加入这两个包就可以

<!--  shiro  -->
<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.4.0</version>
</dependency>
<!--  JWT  -->
<dependency>
   <groupId>com.auth0</groupId>
   <artifactId>java-jwt</artifactId>
   <version>3.8.0</version>
</dependency>

2. JWT配置

1. JWTToken.java 实体类

public class JWTToken implements AuthenticationToken {

    private String token;

    public JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

 2. JWTUtil.java 来实现JWT的token解析等工具类

public class JWTUtil {

    // 过期时间一小时
    private static final long EXPIRE_TIME = 60*60*1000;
    private static final Logger PLOG = LoggerFactory.getLogger(JWTUtil.class);
    /**
     * 校验token是否正确
     * @param token TOKEN
     * @param secret 用户的密码
     * @return boolean 
     */
    public static boolean verify(String token, String username, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception e) {
            PLOG.error("JWT >> " + e);
            return false;
        }
    }

    /**
     * 无需解密直接获得token中的用户名
     * @return token中包含的用户名
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            PLOG.error("JWT >> " + e);
            return null;
        }
    }

    /**
     * 生成签名,并设置过期时间
     * @param username 用户名
     * @param secret 用户的密码
     * @return token
     */
    public static String sign(String username, String secret) {
        try {
            Date date = new Date(System.currentTimeMillis()+EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(secret);
            // 附带username信息
            return JWT.create()
                    .withClaim("username", username)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            PLOG.error("JWT >> " + e);
            return null;
        }
    }
}

3. JWTFilter.java 我们要加一个我们自己的Shiro过滤器,并配置在Shiro

public class JWTFilter extends BasicHttpAuthenticationFilter {
    private static final Logger PLOG = LoggerFactory.getLogger(JWTFilter.class);
    /**
     * 判断是否带TOKEN请求
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader("Authorization");
        return !StringUtils.isEmpty(authorization);
    }
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String authorization = httpServletRequest.getHeader("Authorization");
        JWTToken token = new JWTToken(authorization);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        getSubject(request, response).login(token);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }
    /**
     * 这里控制通过与否
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        // OPTIONS 预请求 忽略
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            return true;
        }
        // 如果不带TOKEN请求,直接阻止
        if (!isLoginAttempt(request, response)) {
            throw new AuthenticationException("token is empty");
        }
        try {
            executeLogin(request, response);
        } catch (Exception e) {
            PLOG.error("JWT >> " + e);
            responseError(request, response);
            return false;
        }

        return true;
    }
    /**
     * 将非法请求跳转到 /ign/error
     */
    private void responseError(ServletRequest req, ServletResponse resp) {
        try {
            HttpServletResponse httpServletResponse = (HttpServletResponse) resp;
            httpServletResponse.sendRedirect("/user/ign/error");
        } catch (IOException e) {
            PLOG.error("JWT >> " + e);
        }
    }
}

3. Shiro配置

CustomRealm.java 

doGetAuthenticationInfo中抛出异常来进行身份判定

public class CustomRealm extends AuthorizingRealm {
    private UserMapper userMapper;

    private static final Logger PLOG = LoggerFactory.getLogger(CustomRealm.class);

    @Autowired
    private void setUserMapper(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    /**
     * 获取身份验证信息
     * Shiro中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。
     *
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        PLOG.info("Shiro >> 身份认证");
        String token = (String) authenticationToken.getCredentials();
        if (token == null) {
            throw new AuthenticationException("token invalid");
        }
        String username = JWTUtil.getUsername(token);
        if (username == null) {
            throw new AuthenticationException("token invalid");
        }
        // 从数据库获取对应用户名密码的用户
        String password = userMapper.getPasswordByUsername(username);
        if (null == password) {
           throw new AuthenticationException("User didn't existed!");
        }
        if (!JWTUtil.verify(token, username, password)) {
            throw new AuthenticationException("Username or password error");
        }
        return new SimpleAuthenticationInfo(token, token, getName());
    }

    /**
     * 获取授权信息
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        PLOG.info("Shiro >> 权限认证");
        String username = JWTUtil.getUsername(principalCollection.toString());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
        Integer power = userMapper.getPowerByUsername(username);
        Set<String> set = new HashSet<>();
        if (power == 100) {
            set.add("admin");
        }
        set.add("user");
        info.setRoles(set);
        return info;
    }
}
 

ShiroConfig.java

从这里加上我们上文写过的JWTFilter 以及配置一下权限控制

@Configuration
public class ShiroConfig {
    private static final Logger PLOG = LoggerFactory.getLogger(ShiroConfig.class);
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 自定义过滤器
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt", new JWTFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        shiroFilterFactoryBean.setLoginUrl("/user/ign/notLogin");
        shiroFilterFactoryBean.setUnauthorizedUrl("/user/ign/notRole");

        // 设置拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        // 开放登录、未登录等映射
        filterChainDefinitionMap.put("/user/ign/**", "anon");

        // 拦截接口
        filterChainDefinitionMap.put("/user/**", "jwt");

        // 其余接口一律拦截
        // filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        PLOG.info("Shiro >> Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }

    /**
     * 注入 securityManager
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置 realm.
        securityManager.setRealm(customRealm());

        // 关闭 shiro 自带的session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }

    /**
     * 自定义身份认证 realm;
     * <p>
     * 必须写这个类,并加上 @Bean 注解,目的是注入 CustomRealm,
     * 否则会影响 CustomRealm类 中其他类的依赖注入
     */
    @Bean
    public CustomRealm customRealm() {
        return new CustomRealm();
    }

    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        // https://zhuanlan.zhihu.com/p/29161098
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

4. 登录

登录的Controller 中,生成token并返给前端使用

    @PostMapping(value = "/ign/login")
    public ServerResponse<String> login( @RequestBody User user) {
        User sourceUser = userService.getUserByUsername(user.getUsername());
        String md5Pass = Analysis.knoveMD5(user.getPassword());
        if (sourceUser.getPassword().equals(md5Pass)) {
            PLOG.info("UserController >> login · 获取Token");
            return ServerResponse.createBySuccess(JWTUtil.sign(user.getUsername(), md5Pass));
        }
        return  ServerResponse.createByError("登录失败!");
    }

 

Knove
关注
专栏目录
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
springboot+shiro 实现jwt思想
qq_44195749的博客
09-12 156
shiro如何实现jwt 先不说如何实现jwt,我们先了解一下shiro这个框架的几个核心 1.shiro的核心概念/核心组件 来自官网的一句话就是: Core Concepts: Subject, SecurityManager, and Realms 1.1 Subject 用户主体(把操作交给SecurityManager) Subject currentUser = SecurityUtils.getSubject(); 1.2 SecurityManager 安全管理器(关联Realm)
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1148
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
【框架专题】工具组件——Shiro+Jwt权限搭建
weixin_44275259的博客
08-20 333
本章的设计思想是,所有登录都是无状态的,利用token在redis中认证,所以要关掉shiro的session,然后因为shiro在做权限校验的时候需要在subject(存在每一次请求的ThreadLocal里面)拿出用户信息,所以需要做一个登录信息的注入,不然就会报出用户未认证的异常,必须补充登录信息 权限系统——理解——shiro内置的数据封装 SimpleAuthenticationInfo 用于封装用户是身份信息+认证信息,认证信息是用于调用匹配器做检验的核心关键 public class .
Shiro + JWT + Spring Boot Restful 简易教程
java思维导图
04-21 241
作者:Smith Cruise原文地址 https://www.inlighting.org/archives/spring-boot-shiro-jwtGitHub 项目地址:http...
springboot+jwt+shiro
Swallow的博客
03-28 716
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 引用至百度百科 最近弄一个新的服务,比较简单,整合了一下安全框架 springboot+jwt+shiro还是比较常见的安全框架整合,简单记录一下这次整合过程 首先,pom.xml 文件添加依赖 <!--整合Shiro安全框架-->
boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证
05-14
【标题】"boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证" 涉及的核心技术是将Spring Boot、Apache Shiro、Redis和JSON Web Tokens(JWT)结合,以实现一个现代化的、安全的RESTful API...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考...Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
Shiro基于SpringBoot +JWT搭建简单的restful服务.zip
04-08
标题中的"Shiro基于SpringBoot +JWT搭建简单的restful服务.zip"揭示了这个项目的核心技术栈,主要包括Apache ShiroSpring Boot以及JSON Web Token(JWT)。这三个组件在现代Web开发中有着广泛的应用,特别是对于...
SSM整合shiroJWT
Wang8309166的博客
07-28 892
一、禁用shiro原有的session **(目的是在使用前后端分离,移动端,小程序访问时候没有session) 1.首先自定义类继承DefaultWebSubjectFactory(注:此配置只用于**springboot中有用,在SSM框架中会报错,错误信息:session create ……disabled) package com.datacraftman.PB.config; import org.apache.shiro.subject.Subject; import org.apache.s
Spring-Boot-ShiroShiro基于SpringBoot + JWT构建简单的restful服务
02-03
Shiro + JWT + Spring Boot Restful简易教程 GitHub项目地址: : 。 序言 我也是半路出家的人,如果大家有什么好的意见或批评,请重新issue 。 如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令可以进行访问。网址规则自行看教程后面。 如果想了解Spring Security可以看 (推荐) 特性 完全使用了Shiro的注解配置,保持高度的一致性。 放弃Cookie,会话,使用JWT进行鉴权,完全实现状态鉴权。 JWT密钥支持过期时间。 对跨域提供支持。 准备工作 在开始本教程之前,请保证已经熟悉以下几点。 S
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7214
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
springboot+JWT+Shiro教程整理
浮梦一场
09-01 748
Shiro + JWT + Spring Boot Restful 简易教程https://github.com/Smith-Cruise/Spring-Boot-Shiro?spm=a2c4e.10696291.0.0.683e19a4WCruMW SSM整合shiro实现多用户表多Realm统一登录认证https://blog.csdn.net/visket2008/article...
Spring Boot整合JWT+Shiro
心若静,风奈何
10-09 5169
引入相关的依赖 <!--shiro-redis--> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version>
SSM+JWT+Shiro
louhih的博客
02-13 167
SSM+JWT+Shiro
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 7412
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值