SSM整合shiro、JWT

最新推荐文章于 2024-03-20 20:24:00 发布
最新推荐文章于 2024-03-20 20:24:00 发布
阅读量881 收藏 4
点赞数
分类专栏: 笔记、日常、代码 文章标签: shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wang8309166/article/details/107629312
版权

一、禁用shiro原有的session

**(目的是在使用前后端分离,移动端,小程序访问时候没有session)

1.首先自定义类继承DefaultWebSubjectFactory(注:此配置只用于**springboot中有用,在SSM框架中会报错,错误信息:session create ……disabled)

package com.datacraftman.PB.config;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.SubjectContext;
import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;

/**
 * @Author WangXuefeng
 * @Create 2020-07-25-14:28
 * @Description: 禁用session
 */
public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {


    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}
2.进行spring-shiro.xml配置
配置如下两个配置防止报错(即:报错信息是session没有能力的错误)
<!--解决报错,组装默认的subjectDAO-->
<bean id="subjectDAO" class="org.apache.shiro.mgt.DefaultSubjectDAO">
    <property name="sessionStorageEvaluator" ref="sessionStorageEvaluator"/>
</bean>
<bean id="sessionStorageEvaluator" class="org.apache.shiro.mgt.DefaultSessionStorageEvaluator">
    <property name="sessionStorageEnabled" value="false"/>
</bean>
同时还要配置以下两个配置防止报错
<!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager"/>
</bean>

<!-- 禁用掉会话调度器 -->
<bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
    <property name="sessionValidationSchedulerEnabled" value="true"/>
</bean>

(切记:如果还报错那种的session disabled的错误一定是这几个配置没有放进SecurityManager容器中,需要在SecurityManager中注入上面的两个配置进去,如下)

<!--安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--注入认证授权realm-->
    <property name="realm" ref="customRealm"/>
    <!-- 在安全管理器中注入缓存管理器 -->
    <!--        <property name="cacheManager" ref="cacheManager"/>-->


    <!--解决报错,组装默认的subjectDAO-->
    <property name="subjectDAO" ref="subjectDAO"/>
    <!-- 禁用掉会话调度器 -->
    <property name="sessionManager" ref="sessionManager"/>

</bean>
引入spring-shiro.xml中(ssm不用引入)
<!--配置禁用session-->
<bean id="statelessDefaultSubjectFactory" class="com.datacraftman.PB.config.StatelessDefaultSubjectFactory">(springboot)

二、SHIRO自定义拦截器

既然要整合JWT就要重写自定义的拦截器主要重写的shiro的两个方法

  1. onAccessDenied

  2. isAccessAllowed

isAccessAllowed方法return true会放行,return false则会调用onAccessDenied方法,如果发现返回true还有报错的话百分之90还是shiro配置的原因,那几个防止shiro配置session后报错的那几个配置。

这里用的JWT工具包写的工具类所以整合的代码如下:

package com.datacraftman.PB.filter;

import com.auth0.jwt.interfaces.Claim;
import com.datacraftman.PB.utils.JwtUtil;
import com.datacraftman.PB.vo.Result;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Map;

/**
 * @Author WangXuefeng
 * @Create 2020-07-25-15:15
 * @Description: 自定义session拦截器
 */
public class NoSessionFilter extends AuthorizationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.out.println("isAccessAllowed");
        //强转HttpServletRequest
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        //取token
        String token = httpServletRequest.getParameter("token");
        //判断token
        if("".equals(token) || token == null){
            return false;
        }
        //进行过期验证
        try {
            JwtUtil.verifyToken(token);
        } catch (Exception e) {
            return false;
        }
        //解析token
        Map<String, Claim> map = JwtUtil.parseToken(token);
        Claim userId = map.get("userId");
        //判断用户id
        if("".equals(userId.asInt()) || userId.asInt() == null){
            return false;
        }
        return true;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) {


        HttpServletResponse resp = (HttpServletResponse) response;
        resp.setCharacterEncoding("utf-8");
        resp.setContentType("application/json; charset=utf-8");
        ObjectMapper mapper = new ObjectMapper();
        try {
            resp.getWriter().write(mapper.writeValueAsString(new Result("500",null,"未登录!")));
        } catch (IOException e) {
            e.printStackTrace();
        }
        return false;
    }


}
3.既然写完类不像springboot那么方便,我们还要将重写好的拦截器配进去以替换shiro默认的拦截器

首先将写好的拦截器注入spring-shiro容器中

<!--自定义拦截规则-->
<bean id="noSessionFilter" class="com.datacraftman.PB.filter.NoSessionFilter"></bean>

然后再ShiroFilterFactoryBean中引用自己写好的类替换原有的

<!--        引入自定的拦截器-->
        <property name="filters">
            <map>
                <entry key="jwt" value-ref="noSessionFilter"/>
            </map>
        </property>

最后如下就可以用自己的拦截器了

<!--shiro过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--注入安全管理器-->
        <property name="securityManager" ref="securityManager"/>
        <!--没有登录的时候,跳转到这个页面-->
<!--                <property name="loginUrl" value="/user/unauth"/>-->
<!--        &lt;!&ndash;无权限跳转页面&ndash;&gt;-->
<!--                <property name="unauthorizedUrl" value="/user/nopermission"/>-->

<!--        引入自定的拦截器-->
        <property name="filters">
            <map>
                <entry key="jwt" value-ref="noSessionFilter"/>
            </map>
        </property>

        <!--过滤器链,优先级从上往下-->
        <property name="filterChainDefinitions">
            <value>
                <!--anno表示不需要登录就可以访问-->
                /user/login = anon
                /user/unauth = anon
                /register/* = anon
                <!-- 验证码,可匿名访问 -->
                <!--                /validatecode.jsp** = anon-->
                <!--                /webapp/** = anon-->
                <!--                &lt;!&ndash;/user/createCode= anon&ndash;&gt;-->
                <!--                &lt;!&ndash;auhtc表示需要认证才能访问&ndash;&gt;-->
                <!--                /user/readUser = authc,perms[/readUser]  &lt;!&ndash;perms表示拥有此权限才能访问&ndash;&gt;-->
                <!--                /user/readBook = authc,perms[vip]-->
                /user/* = jwt <!—使用自定义拦截器-->
                /** = jwt
            </value>
        </property>
    </bean>
oxygen gas
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSMShiro的自定义JWT实现
u011478348的博客
01-31 1017
SSMShiro的自定义JWT实现 前言 随着大部分的验证改为Token验证方式,那能否改写Shiro的验证方式,实现自己定义的角色授权和请求拦截呢? JWT实现产生和使用方式见上一篇 以下内容基于自己搭的SSM实现,不同方式搭建的可能有些不一样,提供思路用 1.配置Shiro 这里由于要实现自己的验证方式,和平时的配置有点不一样 按照惯例,导入Maven依赖 <!--shirojwt权...
SSM+Shiro实现权限角色控制
11-07
SSM+Shiro实现权限角色控制,+Maven+Tomcat+Mysql,项目可直接在eclipse上跑,数据库表也附件在压缩包中。
SSM+JWT+Shiro
louhih的博客
02-13 160
SSM+JWT+Shiro
SSM整合Jwt
weixin_62300080的博客
03-20 430
#导入jwt依赖 创键Util 1 2 3 #4.测试
spring+springmvc+Interceptor+jwt+redis实现sso单点登录
civtsbiqr522632413的博客
10-31 289
在分布式环境中,如何支持PC、APP(ios、android)等多端的会话共享,这也是所有公司都需要的解决方案,用传统的session方式来解决,我想已经out了,我们是否可以找一个通用的方案,比如用传统cas来实现多系统...
SSM(Spring+Springmvc+MyBatis)+ajax+JWT,实现登录JWT(token)认证获取权限
qq_50617892的博客
05-18 548
本人最近钻研SpringMVC,都是学习感悟与个人看法,接受任何提问与建议,希望大家提出自己独特的见解,谢谢。
shiro + jwt
saienenen的博客
02-06 318
1,前言 最近在做项目,做到权限模块,感觉登录功能也没这么简单。 查阅了一些文档加博客,大致明白了如何写这个模块。所以记录一下。 2,正文 一,POM <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.
boot-example-shiro-separate-auth0-jwt-2.0.5
07-17
记录一下使用SpringBoot集成Shiro框架和Jwt框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro+Jwt(auth0),前端使用vue+elementUI框架,前后端的交互使用的是jwt的token,shiro的会话关闭,后端只需要...
基于springboot+shiro+jwt+vue+redis的后台管理系统.zip
09-04
项目真实可靠,源码都经测试过,能跑通,可用作本科毕业设计经测试过,请放心下载使用。项目真实可靠,源码都经测试过,能跑通,可用作本科毕业设计经测试过,请放心下载使用。项目真实可靠,源码都经测试过,能跑通...
ssm:基于RESTful风格的前合并分离的SSM框架,集成了shiro和swagger等框架
02-05
基础的SSM框架,集成了shiro作为登陆验证和权限管理和swagger作为开接口文档,让开发商专注于业务的开发 1,前一级分离思想 其实前一次分离并不只是只是开发模式,而是网络应用的一种架构模式,之前先使用HTTP或其他...
毕业设计&课设-基于springboot+shiro+jwt+vue+redis的后台管理系统.zip
最新发布
06-10
该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载...
JWT(JsonWebToken)+SpringMVC demo
10-12
spring mvc + jwt token 简单例子,正在搭建 希望对大家游泳
spring-token:整合JWT,spring,springMVC,实现基于token验证
05-11
spring-token 整合JWT,spring,springMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和spring,springMVC的整合,所以如果有小伙伴想整合JWT和spring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
ShiroSSM整合(内含详细文档介绍)
11-06
ShiroSSM整合(内含详细文档介绍)ShiroSSM整合(内含详细文档介绍)ShiroSSM整合(内含详细文档介绍)
SpringBoot中Shiro缓存使用Redis、Ehcache的方法
08-25
主要介绍了SpringBoot中Shiro缓存使用Redis、Ehcache的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SSM+Shiro+Bootstrap实现权限整合(信息管理系统)
01-25
IMS:信息管理系统,基于SSM+Shiro+Bootstrap开发,包含用户管理、角色管理、权限管理(权限树)、系统管理等模块。其他功能:注册邮件校验、发送邮件找回密码、系统性能监控。系统截图请参照“东云网”小编博客。
【Spring boot】Shiro + JWT 搭建无状态 RESTful 架构
Knove的博客
03-31 1709
技术栈:Spring boot +Shiro +JWT 先说一下 Spring security 和 Shiro ,从这两者选择的时候最后还是选择了Shiro,原因是Spring security 偏重,适合大型企业项目,而且现在用Shiro的也不少。网上这两个的对比文章还是很多的,这里就不赘述。 Shiro默认实现的是session形式,也就是有状态的。我们要改变一些东西,来实现无状态的...
基于ssm(Spring+SpringMVC+MybatisPlus)框架整合Security+JWT+xml配置(一)
龙小虬的博客
07-29 723
Security中文版文档官网:https://www.springcloud.cc/spring-security-zhcn.html#abstractsecuritywebapplicationinitializer-with-spring-mvc 今日分享: 整合Security安全框架 测试框架的可用性 项目结构 在官方网站中我们可以看到标准的官方web.xml过滤器配置 <filter> <filter-name>springSecurityFil
基于ssm(Spring+SpringMVC+MybatisPlus)框架整合Security+JWT+xml配置(二)——使用数据库验证用户
龙小虬的博客
07-29 287
今日言语: 按照上一章的来做,会发现只有当账号为root,密码为123456,才能登陆成功,这种方式很不实用,一旦我们的用户增加,我们不可能把所有用户信息都列出来,所以我们需要采用数据库来验证用户,并授权 接下来我们来解决这个问题。 本人使用的是mybatisplus,所以写起来代码比较少 先建立Entity包 package com.alumni_circle.entity.security; import lombok.Data; /** * @author 龙小虬 * @since 2020-
ssm 整合 shiro
09-13
SSM(Spring+Spring MVC+MyBatis)是一种常用的JavaWeb开发框架组合,而Shiro是一种强大的安全框架,可以用于认证、授权和会话管理等功能。将SSM整合Shiro可以为我们的应用程序提供更高级别的安全性。 下面是整合SSMShiro的步骤: 1. 引入依赖:在项目的配置文件中添加Shiro和相关框架(Spring、MyBatis)的依赖。 2. 创建Shiro配置类:创建一个继承自org.apache.shiro.spring.web.ShiroFilterFactoryBean的类,并在该类中配置Shiro的相关参数,如登录URL、登录成功URL、无权限URL等。 3. 配置Shiro过滤器链:在Shiro配置类中配置Shiro过滤器链,即定义URL与过滤器的对应关系。可以使用Shiro提供的过滤器实现不同URL的访问权限控制。 4. 自定义Realm:创建一个继承自org.apache.shiro.realm.Realm的类,并实现其中的认证和授权方法。在这里,可以使用MyBatis访问数据库获取用户信息和权限信息。 5. 配置Spring和MyBatis:在Spring配置文件中配置DataSource、SqlSessionFactoryBean和MapperScannerConfigurer等相关Bean,以及扫描自定义Realm类的包。 6. 在Web.xml中配置DispatcherServlet:配置Spring MVC的核心控制器DispatcherServlet,并指定Spring MVC相关的配置文件路径。 以上是大致的步骤,具体实现可以参考相关的文档和示例代码。整合SSMShiro可以为你的应用程序提供更加可靠的安全保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值