SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (二) 认证

最新推荐文章于 2024-05-27 13:56:04 发布
最新推荐文章于 2024-05-27 13:56:04 发布
阅读量823 收藏 5
点赞数
分类专栏: Spring Boot 文章标签: java shiro jwt redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bai_ye_/article/details/118488885
版权

项目Github地址: https://github.com/baiye21/ShiroDemo

  1. SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (一) 简介与配置

  2. SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (二) 认证 

  3. SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (三) 鉴权

一,用户注册(主要看密码加密)

讲认证之前先提以下注册,毕竟有用户才能认证。

    com.demo.controller.register.RegisterController 的 userRegister方法:

/*
 * Author  : baiye
   Time    : 2021/06/30
   Function:
*/
@RestController
@RequestMapping("/register/")
public class RegisterController {

    @Autowired
    IUserService iUserService;

    @RequestMapping(value = "register.do", method = RequestMethod.POST)
    @ResponseBody
    public ServerResponse<String> userRegister(@RequestBody UserDTO userDto) {

        //TODO userid 不能重复check
        return iUserService.userRegister(userDto);
    }
}

 com.demo.service.impl.UserServiceImpl的userRegister方法:

这里记住密码加密盐值使用的是userId:用userId作为盐值去加密用户输入的password,

使用的是shiro的SimpleHash,加密算法MD5(觉得MD5不安全可以换别的加密算法)。

/**
	 * 用户注册
	 * @param userDto
	 * @return
	 */
	@Transactional
	public ServerResponse<String> userRegister(UserDTO userDto) {

		// 用户名
		String userId = userDto.getUserId();
		// 用户密码
		String passWord = userDto.getPassWord();

		// MD5密码加密 salt为userId
		String md5PassWord = ShiroMD5Util.encryptPassword(passWord, userId);

		// 用户主表entity
		UserMaster userMaster = new UserMaster();

		// 属性copy
		BeanCopier copier = BeanCopier.create(UserDTO.class, UserMaster.class, false);
		copier.copy(userDto, userMaster, null);

		// 加密后的密码
		userMaster.setPassWord(md5PassWord);

		// 删除FLG : 0
		userMaster.setDelFlg(ConstCode.STRING_ZERO);

		Date date = new Date();
		userMaster.setRegAccount(userId);
		userMaster.setRegTime(date);
		userMaster.setUpdAccount(userId);
		userMaster.setUpdTime(date);

		userMasterMapper.insert(userMaster);

		// 用户注册成功
		return ServerResponse.createBySuccessMessage("用户注册成功");
	}

com.demo.util. ShiroMD5Util 的 encryptPassword方法:

	/**
	 * 使用MD5加密
	 * 
	 * @param password 需要加密的密码
	 * @param salt     加密的盐值 => 用户名
	 * @return 返回加密后的密码
	 */
	public static String encryptPassword(String password, String salt) {

		// MD5 哈希算法
		// salt 作为盐值
		// 666 hash迭代次数
		return String.valueOf(new SimpleHash("MD5", password, salt, 666));
	}

这里还需要注意要将注册路径加入ShiroFilterFactoryBean(com.demo.config.ShiroConfig)的FilterChainDefinitionMap中,设置成anon:无需认证可以访问,如下:

@Bean
public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager) {
		
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		// 设置 SecurityManager
		shiroFilterFactoryBean.setSecurityManager(securityManager);

		Map<String, String> filterMap = new LinkedHashMap<String, String>();

		// 只有不需要权限认证(anon)的 需要明确写入filterMap
		filterMap.put("/hello", "anon");
		filterMap.put("/register/*", "anon");
		filterMap.put("/login/*", "anon");

		// 添加自定义过滤器并且取名为jwt
		Map<String, Filter> filter = new HashMap<String, Filter>(1);
		filter.put("jwt", new JwtFilter());
		shiroFilterFactoryBean.setFilters(filter);

		// 过滤链定义,从上向下顺序执行,所以放在最为下边
		filterMap.put("/**", "jwt");

		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

		return shiroFilterFactoryBean;
	}

测试使用postman,参数格式用Json,注册成功返回status 200 msg 用户注册成功,如下:

二,登录认证

1,subject.login()

com.demo.controller.login.LoginController的login方法

/**
  * /login/login.do 用户登录
  * @param userLoginDTO
  * @param request
  * @param response
  * @return
  * @throws Exception
  */
 @RequestMapping(value = "/login.do", method = RequestMethod.POST)
 @ResponseBody
 public ServerResponse<String> login(@RequestBody LoginDTO userLoginDTO, 
          HttpServletRequest request,
          HttpServletResponse response) throws Exception {

  return iLoginService.login(userLoginDTO, request, response);
 }

 com.demo.service.impl.LoginServiceImpl的login方法,说明基本都写在注释里了。

首先是创建CustomizedToken,并且指明使用BY_PASSWORD方式进行认证,

然后主动调用subject.login进行认证。

/**
	 * 用户login
	 *
	 * @param loginDTO
	 * @param request
	 * @param response
	 * @return
	 */
	@Override
	public ServerResponse login(LoginDTO loginDTO, HttpServletRequest request, HttpServletResponse response) {

		// 用户ID
		String userId = loginDTO.getUserId();
		// 密码
		String passWord = loginDTO.getPassWord();

		// 获取Subject
		Subject subject = SecurityUtils.getSubject();

		// 校验数据库中此user是否存在
		UserMaster userMaster = userMasterMapper.selectByUserId(userId);

		if (userMaster == null) {
			// 该用户未注册 status 602
			return ServerResponse.createByBizError("该用户未注册");
		}

		userId = userMaster.getUserId();

		// 制作CustomizedToken执行登录(shiro UsernamePasswordToken)
		CustomizedToken customizedToken = new CustomizedToken(userId, passWord, LoginEnum.BY_PASSWORD.getLoginType());

		// 记住密码
		//customizedToken.setRememberMe(userLoginDTO.getRememberMe());

		try {

			// shiro 用户认证
			subject.login(customizedToken);

		} catch (Exception e) {

			log.error(e.getMessage());

			// 用户认证失败 密码错误 status 400
			return ServerResponse.createByErrorMessage("用户认证失败,用户名/密码错误。");
		}

		String sessionId = String.valueOf(subject.getSession().getId());

		log.debug("登录用户 : {}, j_session_id : {}", userId, sessionId);

		// 清除可能存在的shiro权限信息缓存
		if (redisUtil.hasKey(RedisConst.PREFIX_SHIRO_CACHE + userId)) {

			redisUtil.del(RedisConst.PREFIX_SHIRO_CACHE + userId);
		}

		// RefreshToken,时间戳为当前时间戳,直接设置即可(不用先删后设,会覆盖已有的RefreshToken)
		String currentTimeMillis = String.valueOf(SysTimeUtil.getTime());

		/**
		 * 将发给用户认证的access token保存到redis中,之后请求时header携带token,
		 * ★★需要重写shiro的sessionManager去redis中获取该token作为sessionid来进行认证★★
		 */
		// redis 存存储refresh Token信息, key shiro:refresh_token:userid 当前时间 过期时间一天
		redisUtil.set(RedisConst.PREFIX_SHIRO_REFRESH_TOKEN + userId, currentTimeMillis,
				Const.REFRESH_TOKEN_EXPIRE_TIME);

        // 获取用户详细信息
		UserInfo userInfo = userMasterMapper.getUserInfo(userId);

		String accountType = userInfo.getAccountType();

		// 发给用户认证的access token 之后请求时header携带token,过期时间 3小时
		String token = JwtUtil.loginSign(userId, accountType, currentTimeMillis, sessionId, Const.TOKEN_SECRET);

		// Authorization
		response.setHeader(Const.TOKEN_HEADER_NAME, token);
        //  Access-Control-Expose-Headers : Authorization
		response.setHeader(Const.TOKEN_ACCESS_CONTROL, Const.TOKEN_HEADER_NAME);

		// 返回 SimpleUserInfo token, UserInfo
		return ServerResponse.createBySuccess(new SimpleUserInfo(token, userInfo));
	}

2,UserModularRealmAuthenticator

调用subject.login之后,由于已经将UserModularRealmAuthenticator注入SecurityManager,所以会先执行UserModularRealmAuthenticator的doAuthenticate方法。

又由于subject.login传递的是BY_PASSWORD的CustomizedToken,所以接下来将进入到PasswordRealm进行认证doGetAuthenticationInfo。

/*
 * Author  : baiye
   Time    : 2021/06/30
   Function: 
*/
@Slf4j
public class UserModularRealmAuthenticator extends ModularRealmAuthenticator {

	// 当subject.login()方法执行,下面的代码即将执行
	@Override
	protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)
			throws AuthenticationException {
		log.debug("UserModularRealmAuthenticator:method doAuthenticate() 执行 ");
		// 判断getRealms()是否返回为空
		assertRealmsConfigured();

		// 所有Realm
		Collection<Realm> realms = getRealms();

		// 盛放登录类型对应的所有Realm集合
		Collection<Realm> typeRealms = new ArrayList<>();

		if(authenticationToken instanceof  JwtToken) {
			log.debug("验证的Token类型是:{}", "JwtToken");
			typeRealms.clear();
			// 获取header部的token进行强制类型转换
			JwtToken jwtToken = (JwtToken) authenticationToken;

			for (Realm realm : realms) {

				if (realm.getName().contains("Demo")) {
					typeRealms.add(realm);
				}
			}

			return doSingleRealmAuthentication(typeRealms.iterator().next(), jwtToken);
		} else {
			typeRealms.clear();
			// 这个类型转换的警告不需要再关注 如果token错误 后面将会抛出异常信息
			CustomizedToken customizedToken = (CustomizedToken) authenticationToken;
			log.debug("验证的Token类型是:{}", "CustomizedToken");
			// 登录类型
			String loginType = customizedToken.getLoginType();

			log.debug("验证的realm类型是:{}", loginType);

			for (Realm realm : realms) {
				if (realm.getName().contains(loginType)) {
					log.debug("当前realm:{}被注入:", realm.getName());
					typeRealms.add(realm);
				}
			}
			// 判断是单Realm还是多Realm
			if (typeRealms.size() == ConstCode.NUM_1) {
				log.debug("一个realm");
				return doSingleRealmAuthentication(typeRealms.iterator().next(), customizedToken);
			} else {
				log.debug("多个realm");
				return doMultiRealmAuthentication(typeRealms, customizedToken);
			}
		}
	}
}

3,PasswordRealm(doGetAuthenticationInfo)

PasswordRealm中只做认证,因为后续通过token访问,授权放到其他的Realm去实现。

这里注意返回的SimpleAuthenticationInfo传参,说明写在注释里面了。

/*
 * Author  : baiye
   Time    : 2021/06/30
   Function:  用户密码认证Realm
*/
@Slf4j
public class PasswordRealm extends AuthorizingRealm {

	@Autowired
	@Lazy
	private IUserService iUserService;

	/**
	 * shiro 赋权
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

		log.debug("PasswordRealm 不做赋权处理");

		// password login 不做赋权处理
		return null;
	}

	/**
	 * shiro 认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
			throws AuthenticationException {

		log.debug("PasswordRealm权限认证开始,传递的token:{}", authenticationToken);

		CustomizedToken token = (CustomizedToken) authenticationToken;

		log.debug("PasswordRealm转换的自定义token:{}", token);

		// 找出数据库中的对象 和用户输入的对象做出对比
		// 根据userid查询用户
		UserMaster userMaster = iUserService.getUserByUserId(token.getUsername());

		if (userMaster == null) {
			log.debug("该账号不存在:{}", token.getUsername());
			// 抛出账号不存在异常
			throw new UnknownAccountException();
		}

		// 用户密码
		Object hashedCredentials = userMaster.getPassWord();

		/***
		 * param1 : 数据库用户<br>
		 * param2 : 密码<br>
		 * param3 : 加密所用盐值 <br>
		 * param4 : 当前realm的名称<br>
		 */
		return new SimpleAuthenticationInfo(userMaster, hashedCredentials,
				ByteSource.Util.bytes(userMaster.getUserId()), getName());

	}
}

4,生成access_token与注册refresh_token

            subject.login(customizedToken)成功后,获取到认证成功的sessionId,并生成access_token,access_token里面携带sessionId,当前时间戳以及用户ID等信息。并同时往redis存入useid对应的access_token的时间戳,保存为refresh_token,保证后续可以验证刷新access_token。subject.login已经贴过全部service login方法的全部代码了,这里就贴以下关键代码了。

    // shiro认证通过后的sessionID
    String sessionId = String.valueOf(subject.getSession().getId());

   // redis 存存储refresh Token信息, key shiro:refresh_token:userid 当前时间 过期时间一天
   redisUtil.set(RedisConst.PREFIX_SHIRO_REFRESH_TOKEN + userId, currentTimeMillis,
				Const.REFRESH_TOKEN_EXPIRE_TIME);

   // 发给用户认证的access token 之后请求时header携带token,过期时间 3小时
   String token = JwtUtil.loginSign(userId, accountType, currentTimeMillis, sessionId, Const.TOKEN_SECRET);

三,测试登录

login.do接口也同样再ShiroConfig里设置成anon:无需认证可以访问。

这里就使用之前注册的demo006:

 解析一下生成的access_token,信息如下:

 

 最后再确认一下redis中保存的refresh_token的value是否与access_token的时间戳一致。

 

密码错误的情况

 至此,认证功能就大体完成了。

白夜21
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot集成shiro+redis+jwt
qq_41015193的博客
03-22 1317
spring boot集成shiro+redis+jwt 集成shiro作为权限校验框架 jwt生成token redis缓冲token用户相关得一些数据 Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。 添加依赖(数据库和持久层框架根据实际情况添加) <!--redis--> <dependency&g
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
总的来说,这个系统通过SpringBoot构建基础框架,利用Shiro进行权限控制,结合JWT实现无状态认证,借助Jedis提升性能,运用MybatisPlus简化数据库操作,实现了基于URL的权限管理。这种设计不仅提高了系统的安全性,...
springboot整和jwtshiroredis实现token自动刷新
08-19
springboot整和jwtshiroredis实现token自动刷新
springboot整合shiro+jwt+redis详解
zwjzone的博客
05-30 3483
springboot整合shiro+jwt+redis详解
Shiro+Jwt+Redis
最新发布
qq_43907296的博客
05-27 695
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
shiro+springboot+jwt+redis
weixin_43275578的博客
11-10 934
shiro整合
springboot整合shiro + jwt + redis实现权限认证(上手即用)
weixin_56227932的博客
12-22 5269
最近项目中涉及到使用shiro来作为权限认证,之前对shiro没有做太多的了解,所以一段时间不用的话,忘记得很快,好记性不如烂笔头。在闲暇之余整理springboot整合shiro得demo,我看了网上一些整合得案列,有写得好的,也有些残差不全。我结合目前使用得项目中代码,整合了一遍。基本上可以直接放在项目中使用。如果有什么缺陷,希望大家指正,目前博客只贴出主要的类供大家参考,具体的请移步gitee上看详细类容。
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
基于springboot+shiro+jwt+vue+redis的后台管理系统.zip
10-15
基于springboot+shiro+jwt+vue+redis的后台管理系统 基于springboot+shiro+jwt+vue+redis的后台管理系统 基于springboot+shiro+jwt+vue+redis的后台管理系统 基于springboot+shiro+jwt+vue+redis的后台管理系统 基于...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器...项目已实现功能包括:用户登录用户管理角色管理权限管理菜单管理
SpringBoot 基于Shiro + Jwt + Redis用户权限管理 (一) 简介与配置
bai_ye_的博客
07-03 2562
项目Github地址:https://github.com/baiye21/ShiroDemo 一,大体功能 1.登录成功返回access_token 用户通过用户密码进行login,验证成功后生成一个access_token返回给前端,之后的请求都需要将access_token放在Request Header部Authorization字段中,才能正常访问。 2.后续请求需携带access_token 将自定义的JwtFilter拦截器加入到了Shiro的过滤器中,没有在过滤...
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot集成ShiroJwtRedis,使用MyBatisPlus框架实现后台数据库操作。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
springboot+redis+shiro+jwt实现权限管理
weixin_45059879的博客
09-20 1085
系列文章目录 文章目录系列文章目录前言一、设计思路1、用户登录2、Token验证3、资源访问shiro配置三、redis配置四、自定义Token五、统一日志打印和异常处理六、Vo七、其他工具类1、StringUtils2、 LocalDateTime3、获取IP4、公共资源总结 前言 一、设计思路 1、用户登录 2、Token验证 3、资源访问 shiro配置 三、redis配置 四、自定义Token 五、统一日志打印和异常处理 六、Vo 七、其他工具类 1、StringUtils 2、 Lo
springboot + redis + shiro + jwt完成登录权限管理
weixin_45885574的博客
10-16 361
https://www.cnblogs.com/kuotian/p/13040682.html
springboot-shiro-jwt-redis实现用户登录的认证与授权(前后端分离)需要有一定shirojwtredisspringboot基础
qq_50518856的博客
04-30 1399
shiro-jwt-redis实现后端认证授权工作
springBoot+shiro+jwt+redis 用户权限管理
weixin_34503526的博客
12-06 2649
1.相关依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.spring.version}</version> </dependency>
springboot+shiro+redis+jwt模块化开发登录权限校验
weixin_42840756的博客
08-17 1202
springboot+shiro+jwt+redis实现登录模块1.demo项目结构1.1.导入依赖1.2. 登录服务ShiroConfig配置类自定义realm,这里主要定义授权和校验的规则JwtFilter,自定义JWT拦截器1.3管理服务LoginInterceptor管理端拦截器LoginConfigLoginStub 之前在公司的时候一直接触到这个东西,由于是同事写的,而且没有仔细的把流程实现一遍,总是有些一知半解的样子,就自己做了一个小的demo来过一遍流程。我这里使用的是模块化的开发,只涉及到
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
m0_67265464的博客
04-08 538
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 一、引言 、相关说明 三、项目准备配置 四、实现颁发token 4.1. 配置RedisRedisConfig 4.2. 编写工具类 4.3. 编写登录接口:LoginController 五、实现Shiro授权 5.1. 重写过滤器:JWTFilter 5.2. Shiro配置:MyShiroConfig
springboot+shiro+jwt+redis
08-18
Spring Boot是一个开源的Java框架,用于构建独立的、可执行的、生产级的Spring应用程序。它极大地简化了Spring应用程序的搭建和部署过程,提供了一整套开箱即用的特性和插件,极大地提高了开发效率。 Shiro是一个强大且灵活的开源Java安全框架,提供了身份验证、授权、加密和会话管理等功能,用于保护应用程序的安全。它采用插件化的设计,支持与Spring等常用框架的无缝集成,使开发者能够轻松地在应用程序中添加安全功能。 JWT(JSON Web Token)是一种用于在客户端和服务端之间传输安全信息的开放标准。它使用JSON格式对信息进行包装,并使用数字签名进行验证,确保信息的完整性和安全性。JWT具有无状态性、可扩展性和灵活性的特点,适用于多种应用场景,例如身份验证和授权。 Redis是一个开源的、高性能的、支持多种数据结构的内存数据库,同时也可以持久化到磁盘中。它主要用于缓存、消息队列、会话管理等场景,为应用程序提供高速、可靠的数据访问服务。Redis支持丰富的数据类型,并提供了强大的操作命令,使开发者能够灵活地处理各种数据需求。 综上所述,Spring Boot结合ShiroJWTRedis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;Redis作为缓存和持久化数据库,提供了高速、可靠的数据访问服务。通过使用这些技术,开发者能够快速、高效地构建出符合安全和性能需求的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值