(7) shiro实战-项目实践-JWT

最新推荐文章于 2024-01-17 10:51:38 发布
最新推荐文章于 2024-01-17 10:51:38 发布
阅读量347 收藏
点赞数
分类专栏: # (2)OAuth2-JWT-Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allensandy/article/details/107637220
版权

目录

1、pom.xml

2、config

2.1、JwtConfig

2.2、ShiroConfig

3、JwtRealm

4、JwtFilter

5、controller

6、补充-JwtUtils

注:该项目中没有使用到oauth2流程。JWT采用的是无状态。

1、pom.xml

	<!--Apache Shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.3.2</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.3.2</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.3.2</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>1.3.2</version>
		</dependency>
		<dependency>
			<groupId>com.auth0</groupId>
			<artifactId>java-jwt</artifactId>
			<version>3.2.0</version>
		</dependency>

2、config

2.1、JwtConfig

@Configuration
@ConfigurationProperties(prefix = "bm.dataservice.jwt")
public class JwtConfig {
	/**
	 * JWT 过期时间
	 */
	private Long expire;
	/**
	 * JWT secret
	 */
	private String secret;

	public Long getExpire() {
		return expire;
	}

	public void setExpire(Long expire) {
		this.expire = expire;
	}

	public String getSecret() {
		return secret;
	}

	public void setSecret(String secret) {
		this.secret = secret;
	}
}

2.2、ShiroConfig

@Configuration
public class ShiroConfig {

	/**
	 * 登录页
	 */
	@Value("${bm.dataservice.page.login}")
	private String loginPage;

	/**
	 * 首页
	 */
	@Value("${bm.dataservice.page.index}")
	private String indexPage;

	/**
	* Title: getManager 
	* Description: securityManager
	* @param realm
	* @return   
	* DefaultWebSecurityManager
	 */




	@Bean("securityManager")
	public DefaultWebSecurityManager getManager(JwtRealm realm) {
		DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
		// 使用自己的realm
		manager.setRealm(realm);

		/*
		 * 关闭shiro自带的session,详情见文档
		 * http://shiro.apache.org/session-management.html#SessionManagement-
		 * StatelessApplications%28Sessionless%29
		 */
		DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
		DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
		defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
		subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
		manager.setSubjectDAO(subjectDAO);
		return manager;
	}

	/**
	* Title: factory 
	* Description: shiroFilter
	* @param securityManager
	* @return   
	* ShiroFilterFactoryBean
	 */
	@Bean("shiroFilter")
	public ShiroFilterFactoryBean factory(DefaultWebSecurityManager securityManager) {
		ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

		// 添加自己的过滤器并且取名为jwt
		Map<String, Filter> filterMap = new HashMap<>(16);
		filterMap.put("JwtAuth", new JwtFilter());
		factoryBean.setFilters(filterMap);

		factoryBean.setSecurityManager(securityManager);
		factoryBean.setUnauthorizedUrl(loginPage);
		factoryBean.setLoginUrl(loginPage);
		// SuccessUrl其实在本项目中没有用,本项目中是Controller直接返回Json对象,不涉及到页面跳转
		factoryBean.setSuccessUrl(indexPage);

		/*
		 * 自定义url规则 http://shiro.apache.org/web.html#urls-
		 */
		Map<String, String> filterRuleMap = new HashMap<String, String>(10);
		// 所有请求通过我们自己的JWT Filter
		filterRuleMap.put("/auth/login", "anon");
		filterRuleMap.put("/auth/test", "JwtAuth");
		factoryBean.setFilterChainDefinitionMap(filterRuleMap);
		return factoryBean;
	}

	/**
	* Title: lifecycleBeanPostProcessor 
	* Description: 配置 Bean 后置处理器: 会自动的调用和 Spring 整合后各个组件的生命周期方法
	* @return   
	* LifecycleBeanPostProcessor
	* 【坑】:为什么此处加static :解决@Value 都不到数据的问题
	*                        https://blog.csdn.net/wuxuyang_7788/article/details/70141812
	 */
	@Bean
	public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/**
	 * 
	* Title: defaultAdvisorAutoProxyCreator 
	* Description: 1.下面的代码是添加注解支持
	* @return   
	* DefaultAdvisorAutoProxyCreator
	 */
	@Bean
	@DependsOn("lifecycleBeanPostProcessor")
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		// 强制使用cglib,防止重复代理和可能引起代理出错的问题
		// https://zhuanlan.zhihu.com/p/29161098
		defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
		return defaultAdvisorAutoProxyCreator;
	}

	/**
	* Title: authorizationAttributeSourceAdvisor 
	* Description: 2.下面的代码是添加注解支持
	* @param securityManager
	* @return   
	* AuthorizationAttributeSourceAdvisor
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
			DefaultWebSecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
		advisor.setSecurityManager(securityManager);
		return advisor;
	}

}

3、JwtRealm

先建JwtToken

public class JwtToken implements AuthenticationToken {
	/**   
	 * @Fields serialVersionUID :
	 */
	private static final long serialVersionUID = -4544643660260209460L;
	/**
	 * 密钥
	 */
	private String token;

	/**
	 * JWTToken
	 * @param token
	 */
	public JwtToken(String token) {
		this.token = token;
	}

	/**
	 * Principal
	 */
	@Override
	public Object getPrincipal() {
		return token;
	}

	/**
	 * Credentials
	 */
	@Override
	public Object getCredentials() {
		return token;
	}
}

然后 

@Component
public class JwtRealm extends AuthorizingRealm {
	/**
	 * Jwt配置
	 */
	@Autowired
	private JwtConfig jwtConfig;
	/**
	 * 大坑!,必须重写此方法,不然Shiro会报错
	 */
	@Override
	public boolean supports(AuthenticationToken token) {
		return token instanceof JwtToken;
	}

	/**
	 * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// Auto-generated method stub
		return null;
	}

	/**
	 * 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
		String token = (String) auth.getCredentials();
		boolean verify = JwtUtil.verify(token,jwtConfig.getSecret());
		if (!verify) {
			throw new AuthenticationException("JWT Token 验证失败!");
		}
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(token, token, this.getName());
		return simpleAuthenticationInfo;
	}

}

4、JwtFilter

public class JwtFilter extends UserFilter {

	/**
	 * 
	 * Description:   跨域处理
	 * @param servletRequest
	 * @param servletResponse
	 * @return
	 * @throws Exception
	 */
	@Override
	protected boolean preHandle(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {

		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletResponse response = (HttpServletResponse) servletResponse;

		String header = request.getHeader("Origin");
		if (header == null) {
			header = "*";
		}
		// 允许向该服务器提交请求的URI,*表示全部允许
		// 在SpringMVC中,如果设成*,会自动转成当前请求头中的Origin,
		// 但是shiro中不能设成*,要指定路径
		response.setHeader("Access-Control-Allow-Origin", header);
		// 允许提交请求的方法,*表示全部允许
		response.setHeader("Access-Control-Allow-Methods", request.getMethod());
		// 预检请求的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
		response.setHeader("Access-Control-Max-Age", "3600");
		// 允许访问的头信息
		response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
		// 允许跨域,在做登录校验的时候有用
		response.setHeader("Access-Control-Allow-Credentials", "true");

		if (request.getMethod().equals(RequestMethod.OPTIONS.name())) {
			// 预检,直接跳出
			response.setStatus(HttpStatus.OK.value());
			return false;
		}
		return super.preHandle(request, response);
	}

	/**
	 * Description: 请求Filter
	 * @param servletRequest
	 * @param servletResponse
	 * @param mappedValue
	 * @return
	 */
	@Override
	protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse,
			Object mappedValue) {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletResponse response = (HttpServletResponse) servletResponse;
		System.out.println("进来啦,开始进行token验证");

		// 1. 请求头无Authorization则禁止访问
		String authorization = request.getHeader("Authorization");
		if (null == authorization) {
			return false;
		}
		// 2. 请求头 token为空则禁止访问
		String token = authorization.substring(authorization.indexOf("Bearer") + 6).trim();
		if (token.length() == 0) {
			return false;
		}
		//3. token检验,到realm中进行校验
		JwtToken jwtToken = new JwtToken(token);
		Subject subject = getSubject(request, response);
		try {

            //----------------------------start
            //校验直接用isAuthenticated(),如果失败再进行subject.login(jwtToken);
            //该段实在写博客的时候突然想到的,项目中还没改
              subject.isAuthenticated();
           //-----------------------------end

			subject.login(jwtToken);
		} catch (Exception e) {
			return false;
		}
		return true;
	}
}

 上面进行用户时候进行过认证,应该直接用subject.isAuthenticated();,如果没有则进行subject.login(jwtToken);该段实在写博客的时候突然想到的,项目中还没改。

在shiroConfig中应用:

 5、controller

@PostMapping("/login")
	public CommonResult login(@ApiIgnore HttpServletRequest request, @ApiIgnore HttpServletResponse response,
			String username, String password, String courtCode) {
		Map<String, Object> userInfoMap;
		Map<String, Object> map = new HashMap<>(2);
		try {
			SysUser userInfo = organizationUserService.querylogin(username, password, courtCode);
			if (null == userInfo) {
				return CommonResult.build(500, "用户名或密码错误");
			}
			 userInfoMap = organizationUserService.queryUserInfo(userInfo.getId());
			// 1.用户名密码登录逻辑
			LoginInfo loginInfo = new LoginInfo();
			loginInfo.setId(userInfo.getId());
			loginInfo.setUserName(userInfo.getUsername());
			loginInfo.setName(userInfo.getName());
			loginInfo.setRole(userInfoMap.get("role").toString());
			loginInfo.setDepartmentId(userInfo.getDepartmentId());
			loginInfo.setDqdm(userInfoMap.get("dqdm").toString());
			loginInfo.setRoleIdList((List<String>) userInfoMap.get("roleId"));
           //用户信息未绑定 登陆失败
			if(CollectionUtils.isEmpty(loginInfo.getRoleIdList())){
				return CommonResult.build(500, "该用户暂时未绑定角色请与系统管理员联系!");
			}
			// 2.证书签发
			String secret = jwtConfig.getSecret();
			Long expire = jwtConfig.getExpire();
			String json = JsonUtils.objectToJson(loginInfo);
			String token = JwtUtil.sign(secret, expire, json);
			// 3.token写入cookie。web开发该部分可由后端实现也可由前端实现;app开发只能前端写入storage

			map.put("token", token);
		}catch (Exception e){
			e.printStackTrace();
			return CommonResult.build(500, "无法获取登录信息");
		}

		return CommonResult.ok(map);
	}

6、补充-JwtUtils

public class JwtUtil {

    /**
     * Title: verify
     * Description: 校验token是否正确
     *
     * @param token   密钥
     * @param loginfo 用户信息
     * @param secret  私钥
     * @return boolean
     */
    public static boolean verify(String token, String loginfo, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = null;
            if (loginfo.length() > 0) {
                verifier = JWT.require(algorithm).withClaim("claim", loginfo).build();
            } else {
                verifier = JWT.require(algorithm).build();
            }
            verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /**
     * Title: verify
     * Description: 不帶Claim,只做secret校验
     *
     * @param token
     * @param secret
     * @return boolean
     */
    public static boolean verify(String token, String secret) {
        return verify(token, "", secret);
    }

    /**
     * Title: getLoginInfo
     * Description: 取用戶信息 ,无需secret解密也能获得
     *
     * @param token
     * @return LoginInfo
     */
    public static LoginInfo getLoginInfo(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            String info = jwt.getClaim("claim").asString();
            if (info.trim().length() > 0) {
                return JsonUtils.jsonToPojo(info, LoginInfo.class);
            } else {
                return null;
            }
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * Title: getLoginInfoFromCookie
     * Description: 从Cookie中取用户信息
     *
     * @return LoginInfo
     */
    public static LoginInfo getLoginInfoFromCookie() {
		/*HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes())
				.getRequest();
		String token = CookieUtils.getCookieValue(request, "token");
		if (!StringUtils.isNotEmpty(token)) {
			return null;
		}
		LoginInfo loginInfo = getLoginInfo(token);
		return loginInfo;*/
        //原來是从Cookie中取用户信息,现在直接从header中读取用户信息
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes())
                .getRequest();
        String authorization = request.getHeader("Authorization");
        if (null == authorization) {
            return null;
        }
        String token = authorization.substring(authorization.indexOf("Bearer") + 6).trim();
        if (!StringUtils.isNotEmpty(token)) {
            return null;
        }
        LoginInfo loginInfo = getLoginInfo(token);
        return loginInfo;

    }

    /**
     * Title: sign
     * Description: 生成签名
     *
     * @param secret  密钥
     * @param expire  过期时间
     * @param loginfo 用户信息
     * @return String
     */
    public static String sign(String secret, Long expire, String loginfo) {

        try {
            Date date = new Date(System.currentTimeMillis() + expire);
            Algorithm algorithm = Algorithm.HMAC256(secret);
            return JWT.create().withClaim("claim", loginfo).withExpiresAt(date).sign(algorithm);

        } catch (UnsupportedEncodingException e) {
            return null;
        }
    }


}

 

^果然好^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro权限框架实战+项目案例视频课程
06-09
在“Shiro实战部分”中,你将学习到: 1. **Shiro基础**:了解Shiro的架构,包括Realms(认证源)、Subject(当前安全主体)、SecurityManager(安全管理器)等核心组件。 2. **身份验证流程**:理解Shiro如何进行...
JWT的使用详解
snow_love_xia的博客
03-04 2794
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
JWT的简单使用(菜鸡随笔)
kusse的博客
04-18 410
JWT的简单使用(菜鸡随笔)
Spring Cloud Config客户端安全认证机制JWT实战
实践求真知
11-21 298
一代码位置 https://github.com/cakin24/spring-cloud-code/tree/master/ch12-7 二测试认证通过 1客户端配置 spring: cloud: config: label: master uri: http://localhost:9090 ...
整合JWT框架,解决Token验证问题
程序IT圈
07-20 310
# 传统Session认证1、认证过程1、用户向服务器发送用户名和密码。2、服务器验证后在当前对话(session)保存相关数据。 3、服务器向返回sessionId,写入客户端 Cookie。 4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。 5、服务器收到 sessionId,验证客户端。2、存在问题1、session保存在服务端,客户端访问高并发时,服务端压力...
Spring Boot整合JWT实现用户认证
z_ssyy的博客
12-06 666
JWT(Json Web Token),是一种工具,格式为的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录操作,通过JWT就可以实现这样一个用户认证的功能。当然使用Session可以实现这个功能,但是使用Session的同时也会增加服务器的存储压力,而JWT是将存储的压力分布到各个客户端机器上,从而减轻服务器的压力。JWT由3个子字符串组成,分别
项目演示:springboot整合shiro.zip
04-04
SpringBoot整合Shiro是一个常见的Java Web开发任务,用于实现用户认证和授权功能。...这个案例中的`springboot-shiro`项目,就是一个很好的学习和实践平台,可以帮助开发者深入了解和掌握SpringBoot与Shiro的整合技巧。
Shiro基于SpringBoot +JWT搭建简单的restful服务.zip
最新发布
04-08
总的来说,这个项目涵盖了Spring Boot的基础架构、Shiro的安全控制以及JWT的身份认证机制,为学习者提供了一个实际的开发环境,有助于提升他们的技能和实践经验。通过这个项目,开发者不仅可以掌握基本的Web开发技术...
Shiro终极版
08-14
7. **实战应用**:"Shiro 终极版"可能包含了实际项目中的应用案例,例如如何在 RESTful API 中实现权限控制,或者在多模块微服务架构下如何协调 Shiro 的会话管理。 8. **测试与调试**:学习资料可能也涉及如何编写...
springboot+shiro+jwt+vue全家桶+redis搭建的后台系统脚手架(前端部分).zip
03-26
总结来说,这个项目是一个综合性的实战案例,展示了如何使用Spring Boot、ShiroJWT、Vue.js和Redis等技术构建一个完整的后台管理系统。对于希望提升Java Web开发技能的开发者来说,这是一个非常有价值的参考资料。
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3359
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
JWT的简单使用-HelloWorld!
铁蛋的博客
03-11 842
配置2个接口,一个获取Token(不拦截)。一个验证Token(拦截) 第一步 引入pom.xml依赖 <!--JWT(Json Web Token)登录支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </depe
JWT令牌的使用
m0_73505556的博客
01-17 471
JWT令牌的使用
【第三十一篇】JWT创建Token
KingDuDu的Blog-记录开发成长之路的点滴
02-23 309
类库先安装JWT的包,看下面的图 //创建Token var token = JWTHelper.Create<JWTToken>(new JWTToken { SessionID = Guid.NewGuid().ToString("N"), UserID = user.ID, LoginIP = WebHelper.GetIP(), ...
Golang Gin框架搭建项目(五)jwt登录和权限验证
qq_26900081的博客
06-28 4561
1、AuthUtil.go : 用于生成和解析token 2、jwt相关配置:额外加上以下内容Golang Gin框架搭建项目(二)解析json配置文件_Bear Coding的博客-CSDN博客_gin解析json 3、登录接口:不包含业务逻辑,只验证jwt功能.........
【SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3352
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
springboot+shiro+jwt实现token认证登录
qq_40997700的博客
12-17 4930
准备: springboot 2.5.5 jdk 1.8 没有操作刷新token功能,也没有放redis做缓存 1.先贴代码 2.后讲一下验证逻辑 1.导入依赖 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&gt
Java私塾《深入浅出学Shiro》- 权限管理实战教程
这套教程通过系统的学习路径,让学习者能够从基础到实践全面了解和掌握Apache Shiro,对于想要提升Java安全领域知识的开发者来说,是一份宝贵的参考资料。配合博客和源码阅读,将有助于深入理解和应用Shiro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值