Springboot-超线1-JWT+Shiro

最新推荐文章于 2024-02-28 18:21:20 发布
最新推荐文章于 2024-02-28 18:21:20 发布
阅读量158 收藏
点赞数
分类专栏: SpringBoot # java框架 文章标签: java shiro jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WaY0626/article/details/114671233
版权

JWT+Shiro

前面我们已经了解过了一点shiro与jwt的基本知识,但是一直有个疑问,怎么让结合使用呢,

我们开始实验:由于时间有限以及授权方面有些疑问点不太懂,暂时先写出了验证部分。

导入依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.4.1</version>
    </dependency>
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.4.0</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid</artifactId>
        <version>1.1.22</version>
    </dependency>
</dependencies>

过程

首先用户要先登录,输入正确的用户名以及密码,这次只是小呆蘑,先不涉及复杂业务逻辑以及数据库操作。

编写Controller层的用户登录方法,当然这个请求应当不被shiro进行拦截:

// login登录  账号:wangyun  密码:123456
@RequestMapping("/login")
public ResponseEntity<Map<String, String>> login(String username, String password) {
    log.info("username:{},password:{}",username,password);
    Map<String, String> map = new HashMap<>();
    // 验证用户名密码是否正确
    if (!"wangyun".equals(username) || !"123456".equals(password)) {
        map.put("msg", "用户名密码错误");
        return ResponseEntity.ok(map);
    }
    JWTUtil jwtUtil = new JWTUtil();
    Map<String, Object> chaim = new HashMap<>();
    // 将用户信息放入payload中,注意敏感信息不要放进去。容易被非法窃取。
    chaim.put("username", username);
    // 这次为了验证过程,所以token设置的失效时间很长,实际开发中要根据实际业务需求进行对应修改
    String jwtToken = jwtUtil.encode(username, 50 * 60 * 1000, chaim);
    map.put("msg", "登录成功");
    map.put("token", jwtToken);
    return ResponseEntity.ok(map);
}

到这个过程我们需要一个JWTUitl工具类才行:

/**
* JWT工具类
**/
package com.siler.demo.Util;


import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.tomcat.util.codec.binary.Base64;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

public class JWTUtil {
    //创建默认的秘钥和算法,供无参的构造方法使用
    private static final String defaultbase64EncodedSecretKey = "badbabe";
    private static final SignatureAlgorithm defaultsignatureAlgorithm = SignatureAlgorithm.HS256;

    public JWTUtil() {
        this(defaultbase64EncodedSecretKey, defaultsignatureAlgorithm);
    }

    private final String base64EncodedSecretKey;
    private final SignatureAlgorithm signatureAlgorithm;

    public JWTUtil(String secretKey, SignatureAlgorithm signatureAlgorithm) {
        this.base64EncodedSecretKey = Base64.encodeBase64String(secretKey.getBytes());
        this.signatureAlgorithm = signatureAlgorithm;
    }

    /*
     *这里就是产生jwt字符串的地方
     * jwt字符串包括三个部分
     *  1. header
     *      -当前字符串的类型,一般都是“JWT”
     *      -哪种算法加密,“HS256”或者其他的加密算法
     *      所以一般都是固定的,没有什么变化
     *  2. payload
     *      一般有四个最常见的标准字段(下面有)
     *      iat:签发时间,也就是这个jwt什么时候生成的
     *      jti:JWT的唯一标识
     *      iss:签发人,一般都是username或者userId
     *      exp:过期时间
     *
     * */
    public String encode(String iss, long ttlMillis, Map<String, Object> claims) {
        //iss签发人,ttlMillis生存时间,claims是指还想要在jwt中存储的一些非隐私信息
        if (claims == null) {
            claims = new HashMap<>();
        }
        long nowMillis = System.currentTimeMillis();

        JwtBuilder builder = Jwts.builder()
                .setClaims(claims)
                .setId(UUID.randomUUID().toString())//2. 这个是JWT的唯一标识,一般设置成唯一的,这个方法可以生成唯一标识
                .setIssuedAt(new Date(nowMillis))//1. 这个地方就是以毫秒为单位,换算当前系统时间生成的iat
                .setSubject(iss)//3. 签发人,也就是JWT是给谁的(逻辑上一般都是username或者userId)
                .signWith(signatureAlgorithm, base64EncodedSecretKey);//这个地方是生成jwt使用的算法和秘钥
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);//4. 过期时间,这个也是使用毫秒生成的,使用当前时间+前面传入的持续时间生成
            builder.setExpiration(exp);
        }
        return builder.compact();
    }

    //相当于encode的方向,传入jwtToken生成对应的username和password等字段。Claim就是一个map
    //也就是拿到荷载部分所有的键值对
    public Claims decode(String jwtToken) {

        // 得到 DefaultJwtParser
        return Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(base64EncodedSecretKey)
                // 设置需要解析的 jwt
                .parseClaimsJws(jwtToken)
                .getBody();
    }

    //判断jwtToken是否合法
    public boolean isVerify(String jwtToken) {
        //这个是官方的校验规则,这里只写了一个”校验算法“,可以自己加
        Algorithm algorithm = null;
        switch (signatureAlgorithm) {
            case HS256:
                algorithm = Algorithm.HMAC256(Base64.decodeBase64(base64EncodedSecretKey));
                break;
            default:
                throw new RuntimeException("不支持该算法");
        }
        JWTVerifier verifier = JWT.require(algorithm).build();
        verifier.verify(jwtToken);  // 校验不通过会抛出异常
        //判断合法的标准:1. 头部和荷载部分没有篡改过。2. 没有过期
        return true;
    }

    public static void main(String[] args) {
        JWTUtil util = new JWTUtil("tom", SignatureAlgorithm.HS256);
        //以tom作为秘钥,以HS256加密
        Map<String, Object> map = new HashMap<>();
        map.put("username", "tom");
        map.put("password", "123456");
        map.put("age", 20);

        String jwtToken = util.encode("tom", 1000*60*60, map);

        System.out.println(jwtToken);
        System.out.println(util.decode(jwtToken));
        util.decode(jwtToken).entrySet().forEach((entry) -> {
            System.out.println(entry.getKey() + ": " + entry.getValue());
        });
    }
}

此时我们发现:返回信息中:

{
    "msg": "登录成功",
    "token": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0b20iLCJleHAiOjE2MDc2NjExMTIsImlhdCI6MTYwNzY1ODExMiwianRpIjoiODM5NzI4MjgtNDg3OC00MDJmLWI2ZmQtMzUyOWZjZGE0YWJjIiwidXNlcm5hbWUiOiJ0b20ifQ.vKsxF61Rj604xOotb02TND4XXXXXXXXXXXXXXXXXX"
}

下面我们已经登录成功,在系统中我们进行的有些操作都应该携带这个token,已验证是否是当前用户,保证合法性,当然我们要保存在请求头中(与前端需要商量一致)

image-20201211114515922

首先我们需要展示shiro的配置文件信息。

@Configuration
public class ShiroConfig {
    // 获取对象工厂
    @Bean
    public SubjectFactory subjectFactory() {
        return new JwtDefaultFactory();
    }

    @Bean
    public Realm realm() {
        return new JwtRealm();
    }
	
    // 配置安全管理器信息
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        /*
         * b
         * */
        // 关闭 ShiroDAO 功能
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        // 不需要将 Shiro Session 中的东西存到任何地方(包括 Http Session 中)
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        //禁止Subject的getSession方法
        securityManager.setSubjectFactory(subjectFactory());
        return securityManager;
    }
	// 配置shiro的过滤器
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager());
        shiroFilter.setLoginUrl("/hello");
        shiroFilter.setUnauthorizedUrl("/hello");
        /*
         * c. 添加jwt过滤器,并在下面注册
         * 也就是将jwtFilter注册到shiro的Filter中
         * 指定除了login和logout之外的请求都先经过jwtFilter
         * */
        Map<String, Filter> filterMap = new HashMap<>();
        //这个地方其实另外两个filter可以不设置,默认就是
        filterMap.put("anon", new AnonymousFilter());
        // 将我们自定义的JWTFilter加载进去
        filterMap.put("jwt", new JWTFilter());
        filterMap.put("logout", new LogoutFilter());
        shiroFilter.setFilters(filterMap);

        // 拦截器
        Map<String, String> filterRuleMap = new LinkedHashMap<>();
        filterRuleMap.put("/login", "anon");
        filterRuleMap.put("/logout", "logout");
        filterRuleMap.put("/**", "jwt");
        // 将过滤请求映射加入过滤器中
        shiroFilter.setFilterChainDefinitionMap(filterRuleMap);

        return shiroFilter;
    }
}

展示JWTDefaultFactory信息;

public class JwtDefaultFactory extends DefaultWebSubjectFactory {
    @Override
    public Subject createSubject(SubjectContext context) {
        // 不创建 session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

配置shiro的realm

@Slf4j
public class JwtRealm extends AuthorizingRealm {

    @Override
    public boolean supports(AuthenticationToken token) {
        //这个token就是从过滤器中传入的jwtToken
        return token instanceof JwtToken;
    }
	
    // 授权操作,暂不操作	
    // 大致思路是,我们可以通过JwtUtil.decode(jwt).get("username")获取到登录人信息,然后去数据库查询具有的权限信息,并根据这个权限信息赋值给该用户
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        
        String jwt = (String) token.getPrincipal();
        if (jwt == null) {
            throw new NullPointerException("jwtToken 不允许为空");
        }
        //判断
        JWTUtil jwtUtil = new JWTUtil();
        if (!jwtUtil.isVerify(jwt)) {
            throw new UnknownAccountException();
        }
        //下面是验证这个user是否是真实存在的
        String username = (String) jwtUtil.decode(jwt).get("username");//判断数据库中username是否存在
        log.info("在使用token登录"+username);
        return new SimpleAuthenticationInfo(jwt,jwt,"JwtRealm");
        //这里返回的是类似账号密码的东西,但是jwtToken都是jwt字符串。还需要一个该Realm的类名
    }
}

创建JWTFilter文件:

@Slf4j
public class JWTFilter extends AccessControlFilter {
    // 判断是否通过
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        log.warn("isAccessAllowed 方法被调用");
        return false;
    }

    @Override
    // 判断是否拒绝通过
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        log.warn("onAccessDenied 方法被调用");
        //这个地方和前端约定,要求前端将jwtToken放在请求的Header部分

        //所以以后发起请求的时候就需要在Header中放一个Authorization,值就是对应的Token
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String jwt = request.getHeader("Authorization");
        log.info("请求的 Header 中藏有 jwtToken {}", jwt);
        JwtToken jwtToken = new JwtToken(jwt);
        /*
         * 下面就是固定写法
         * */
        try {
            // 委托 realm 进行登录认证
            //所以这个地方最终还是调用JwtRealm进行的认证
            getSubject(servletRequest, servletResponse).login(jwtToken);
            //也就是subject.login(token)
        } catch (Exception e) {
            e.printStackTrace();
            onLoginFail(servletResponse);
            //调用下面的方法向客户端返回错误信息
            return false;
        }

        return true;
        //执行方法中没有抛出异常就表示登录成功
    }

    private void onLoginFail(ServletResponse response) throws IOException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        httpResponse.getWriter().write("login error");
    }
}

验证完毕后通过,用户可以正常进行操作。

小菜鸡0626
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+MyBatisPlus+Redis+Jwt+Shiro+Vue 完整博客文章管理前后端实战
小青蛙的博客
07-04 2150
从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus,为简化开发而生,只需简单配置,即可快速进行 CRUD`操作,从而节省大量时间。...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
shiro+jwt实现无状态鉴权
blowbob_666的博客
11-19 495
Shiro+JWT实现无状态鉴权 转载自简书 coderymy 大神的文章 原文地址 https://www.jianshu.com/p/9b6eb3308294 技术选型: 原有的鉴权是通过单一Shiro+redis,保存用户的SessionId来完成的,单机环境提供服务完全没有问题。由于萌新手贱搭建服务集群,突然就遇到了一个问题: 用户操作被莫名的中断并拒绝,弹回登录界面。 在大致了解了SessionId的生成原理后,了解了负载均衡到不同的服务器时,直接导致sessionId发生变化,可能由于当初老大
SpringBoot+Shiro+JWT+Mybatis-Plus搭建admin-shiro管理系统
热门推荐
qq_45660133的博客
12-30 1万+
从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus,(为简化开发而生,只需简单配置,即可快速进行) CRUD 操作,从而节省大量时间。 作为一个项目骨架,权限也是我们不能忽略的,Apache Shiro 是一款强大易用的 Java 安全框架
SpringBoot+Shiro+JWT+Redis+Mybatis-plus 前后端分离实战项目
jmu201821122110
04-24 9276
文章目录前言JWT学习总结什么是JWTJWT的结构?JWT整合SpringBoot的依赖JWT核心代码配置JWTUtilJWT拦截器全局拦截器配置登陆成功的时候生成JWT token 返回给前端前端如何利用 JWT token项目源码(CodeChina平台)踩过的坑项目运行总结 前言 这篇博客是在我上篇发的 SpringBoot+Shiro+Redis+Mybatis-plus 实战项目 之上添加了JWT认证和前后端分离,所以这篇博客重点是贴出 JWT 学习总结的代码,希望可以帮助到大家! JWT.
Springboot+mybatis-plus+JWT+Shiro+Redis无状态授权登录
PJC的博客
09-28 1279
搭建Springboot环境 ・ Springboot 2.2.6 ・ pom依赖 <dependencies> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version
SpringBoot+JWT+Shiro
jakelihua
08-20 571
本文讲解,如何用SpringBoot整合JWTShiro。对于JWTShiro的讲解看这两篇文章,本文只讲解,最后的结合的代码。
Springboot+shiro+jwt+swagger+MybatisPlus个人笔记
iwanttostudyok的博客
02-08 1092
搭建一个基础项目,使用swagger可以自测接口而不用再去写前端页面,话不多说,上货!!! 一、项目依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId>
springboot+jwt+shiro
Swallow的博客
03-28 671
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 引用至百度百科 最近弄一个新的服务,比较简单,整合了一下安全框架 springboot+jwt+shiro还是比较常见的安全框架整合,简单记录一下这次整合过程 首先,pom.xml 文件添加依赖 <!--整合Shiro安全框架-->
springboot + shiro + jwt权限验证
u012203062的博客
02-28 636
springboot + shiro + jwt权限验证快速实践
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
毕业设计&课设-基于springboot+shiro+jwt+vue+redis的后台管理系统.zip
最新发布
06-10
1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统
04-19
用了两个多月的时间完成的:Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级开发系统,Springboot作为容器,使用mybatis作为持久层框架 使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术 ...
JAVA连接FTP实例
WaY0626的博客
05-20 4937
配置FTP环境 1. 安装并启动 FTP 服务 安装VSFTPD 使用 apt-get 安装 [vsftpd]: sudo apt-get install vsftpd -y vsftpd 是在 Linux 上被广泛使用的 FTP 服务器,根据其官网介绍,它可能是 UNIX-like 系统下最安全和快速的 FTP 服务器软件。 启动VSFTPD 安装完成后 VSFTPD 会自动启动,通过 netstat 命令可以看到系统已经[监听了 21 端口]: sudo netstat -nltp | grep
Java文件类解析
WaY0626的博客
03-12 2916
文件 File类 概述 java.io.File 类是文件和目录路径名的抽象表示,主要用于文件和目录的创建、查找和删除等操作。 构造方法 public File(String pathname) :通过将给定的路径名字符串转换为抽象路径名来创建新的 File实例。 public File(String parent, String child) :从父路径名字符串和子路径名字符串创建新的 File实例。 public File(File parent, String child) :从父抽象路径名
Java中Excel导出
WaY0626的博客
03-12 798
1.Poi POI是Apache软件基金会的,POI为“Poor Obfuscation Implementation”的首字母缩写,意为“简洁版的模糊实现”。 所以POI的主要功能是可以用Java操作Microsoft Office的相关文件 1 .导入依赖 <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</
Springboot-主线3-session
WaY0626的博客
03-11 277
基于Springboot的session解决 session session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。 当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个),如果客
springboot+shiro+jwt+redis
08-18
综上所述,Spring Boot结合ShiroJWT和Redis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全JWT用于安全传输信息,确保信息的完整性和安全性;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值