shiro使用(使用token)

最新推荐文章于 2024-05-17 10:57:54 发布
最新推荐文章于 2024-05-17 10:57:54 发布
阅读量2.9w 收藏 116
点赞数 20
分类专栏: Shiro 文章标签: java shiro spring springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dghkgjlh/article/details/90145603
版权

既然要做,就做的细致一点,对得起自己!

为什么使用token,请看这里

解决思路

1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。

2.将过滤器设置进shiro中。

第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。

从当前shiro中取出User信息,进行加密,将加密结果和客户端传过来的token比较,来判断token的合法性、有效性。

public class ShiroFilter extends FormAuthenticationFilter {

    //加密的字符串,相当于签名
    private static final String SINGNATURE_TOKEN = "加密token";

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        //这里只有返回false才会执行onAccessDenied方法,因为
       // return super.isAccessAllowed(request, response, mappedValue);
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        String token = getRequestToken((HttpServletRequest) request);
        String login = ((HttpServletRequest) request).getServletPath();

        //如果为登录,就放行
        if ("/user/login".equals(login)){
            return true;
        }
        if (StringUtils.isBlank(token)){
            System.out.println("没有token");
            return false;
        }

        //从当前shiro中获得用户信息
        User user = (User) SecurityUtils.getSubject().getPrincipal();
        //对当前ID进行SHA256加密
        String encryptionKey= DigestUtils.sha256Hex(SINGNATURE_TOKEN+user.getName());
        if (encryptionKey.equals(token)){
            return true;
        }else{
          System.out.println("无效token");
        }
        return false;
    }
    private String getRequestToken(HttpServletRequest request){
        //默认从请求头中获得token
        String token = request.getHeader("token");
        //如果header中不存在token,则从参数中获取token
        if(StringUtils.isBlank(token)){
            token = request.getParameter("token");
        }
        return token;
    }
}

说明:

1.为什么这里重写isAccessAllowed要直接返回false?查看源码你会发现,只有shiro中Filter最终会执行AccessControlFilter这个类下面的onPreHandle这个方法,而这个方法就一句代码,如下:

我们所有的token校验方法都是在onAccessDenied里进行的,而且这里还是一个或判断,一旦isAccessAllowed为 true,那就不会执行onAccessDenied,稍微懂点与或非的知识就能理解吧。

2.为什么要把主要token验证方法写在onAccessDenied里,而不是写在isAccessAllowed,isAccessAllowed也是可以返回false/true啊?上面的截图源码已经很清楚了,如果在isAccessAllowed里校验false/true,在token校验失败之后,依然还是会执行onAccessDenied这个方法,这个方法如下图:

可以看到,如果所有token验证失败,我们直接把结果返回给前台就可以了,没有必要再进行一次无效的验证。同时,在isAccessAllowed方法里,shiro做的判断很粗,他只是判断了一下,用户是否已经登录,而通过之后的所有请求都是合法的,这显然不符合我们的要求。源码如下

登录之后,这里标红的地方就会为true。所以基于以上两点,我们的代码是第一步那样写。

第二步:当用户登录成功之后,也就是subkect.login(token)校验通过之后,我们会把token返回给客户端,以便于下次请求时进行token的验证。

try{
            subject.login(token);
            //返回的token
            String encryptionKey= DigestUtils.sha256Hex(SINGNATURE_TOKEN+user.getName());
        }catch (Exception e){
            System.out.println("对具体异常处理");
        }

第三步:让shiro执行我们自定义的过滤器。

除了不需要认证权限的操作,统一都由自定义的ShiroFilter去处理。

以上三步完成之后,就可以对所有需要鉴权的请求进行处理。省去了服务器内存和数据库存储和查询的消耗

备注:以上实现加密方式是基于Apache.common.codec下的sha256加密的方法加密的,但是没有对应解密的方法,所以说,上篇文章提到的时间戳鉴定token过期时间就实现不了,目前上面的代码是没有加过期限制的。解决方法也很简单,你只需要使用Base64加密算法就可以,这是可以解密的,可以将时间戳加密到token里,然后再解密,校验token是否过期

思考:在分布式系统中,如何保证多个服务之间可以使用一份token?自己简单的想法是这样的,可以参考  推送/订阅 这种方式可以有一个单独的token的认证服务器,负责token的创建、销毁、校验等。一旦token合法则把token返回给客户端,然后客户端拿着这个token去请求不同的服务A,B,C等。

不过好像有一个JWT提供的token也很厉害,目前还没有研究,懂的大神可以留言教下我,感激不尽!

 本专栏并没有提供相关完整的代码,不过,有一个前后端项目中整合了Shiro,如有需要,代码在这里

JackSparrow414
关注
  • 20
    点赞
  • 116
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
shiro使用jar
04-09
首先,"shiro使用jar" 指的是在 Java 开发中使用 Apache Shiro 框架时所需的核心库文件。Shiro 提供了多个 jar 包来支持其不同模块的功能,如 `shiro-core.jar` 是核心组件,包含认证、授权和会话管理的基础类;`...
shiro-demo使用ehcache做缓存.zip
12-01
在这个“shiro-demo使用ehcache做缓存”的示例中,我们将深入探讨如何结合Apache Shiro和 Ehcache 实现高效的缓存管理。 Ehcache 是一个广泛使用的开源Java缓存解决方案,它提供了内存和磁盘存储,以及对缓存数据的...
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 5424
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为tokenShirotoken的实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用.
shiro - 使用 token
bhegi_seg的博客
03-28 1186
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
若依系统(Security)增加手机验证码登录
最新发布
学习
05-17 309
(Security)增加手机验证码登录
Shiro自定义Token
drhrht的博客
08-24 1281
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
Shiro实现Token认证
梅子黄时雨
05-10 1327
shiro使用
token,Shiro
qq_41981122的博客
11-03 688
token 1.令牌,临时的意思,用作标记.一般作为邀请,登录系统使用. 2.token服务器端产生,客户端频繁像服务器请求数据,服务端频繁和数据库操作,做出相应的提示,在这样的背景下,引入token 3.Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 为什么要用 Token? 解决问题: Token 完全由应用管理,所以它可以避开同源策略 ...
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1118
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
shiro使用方法.ppt
07-19
- SecurityManager 使用内置的 Authenticator(通常是 ModularRealmAuthenticator)来处理 AuthenticationToken。 - 如果配置了多个 Realm,ModularRealmAuthenticator 将按照 AuthenticationStrategy 进行多 Realm ...
Apache Shiro 使用手册(二) Shiro 认证
01-09
一、Shiro认证过程 1、收集实体/凭据信息 代码如下://Example using most common scenario of username/password pair:UsernamePasswordToken token = new UsernamePasswordToken(username, password);//”...
shiro使用token登录流程
jiey0407的博客
04-22 831
Shrio框架Token认证思路
热门推荐
Nothing
06-15 2万+
默认Shiro Session认证方式shiro session的获取最核心的类是 DefaultWebSessionManager
Spring+Shiro+Token认证
qq_24458119的博客
12-20 1万+
首先引入Shiro的依赖包 org.apache.shiro shiro-spring 1.3.2 在我们的wed.xml中加入我们的shiro过滤器 <filter> <filter-name>shiroFilter</filter-name&a
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 4074
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
api Token Shiro权限控制
lvzhyt的专栏
08-01 4433
api Token Shiro权限控制 前后端分离,api通过token验证,后端用shiro权限控制。 token 采用放在header中。 首先获取token,ajax通过header回传token,保持同一会话。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven...
springboot集成shiro,使用token登陆,使用redis缓存
myth_g的博客
08-27 1万+
1.准备用户数据,这里我将数据写死存储; public class Constant implements Serializable { public static final String USERNAME = "gaoyang"; public static final String PASSWORD = "123456"; public static final ...
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5010
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
计算机网络 网络安全------token
八面玲珑
07-06 1651
token的产生 使用token之前: 在传统的web中,由于HTTP协议是无状态性的,它不会记住有哪些用户登录过,所以这时候人们用一个会话标识,即session id来区分每个访问。 浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应,tomcat生成的sessionid叫做jsessionid。这个session id是通过算法生成的随机数(tomcat...
shiro使用token
10-14
Shiro可以使用token进行身份验证和授权。具体来说,可以使用JWT(JSON Web Token)作为token进行身份验证和授权。JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它可以包含用户的身份信息和权限信息,并使用签名进行验证,以确保信息的完整性和真实性。 在使用Shiro进行token身份验证和授权时,需要进行以下步骤: 1. 创建一个JWT token,并将用户的身份信息和权限信息加入到token中。 2. 将token发送给客户端。 3. 客户端在每次请求时将token发送给服务器。 4. 服务器使用Shiro进行token验证,并根据token中的身份信息和权限信息进行授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值