shiro使用(增强版token,JWT和shiro结合使用)

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量3w 收藏 95
点赞数 7
分类专栏: Shiro 文章标签: restful java shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dghkgjlh/article/details/90551285
版权

既然要做,就要做的细致一点,对得起自己!

上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。

上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。

解决思路

将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。

第一步:编写一个JWT工具类,这个类负责token的加密,解密,是否过期等问题



/**
 * JWT token 工具类,提供JWT生成,校验,工作
 *
 * @Date 2019-05-25
 * @Description: TODO
 */
@ConfigurationProperties(prefix = "dhb.jwt")
@Component
public class JwtUtil {
    private Logger logger = LoggerFactory.getLogger(getClass());
    private String secret;
    private Long expire;
    private String header;


    /**
     *
     * 生成JWT token
     * @param userId
     * @return
     */
    public String generateToken(Long userId) {
        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId + "")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();

    }

    /**
     *
     * 解析JWT token
     * @param token
     * @return
     */
    public Claims parseToken(String token) {
        try {

            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            logger.info("解析token出错");
            return null;
        }
    }

    /**
     *
     * 校验token是否过期
     * @param expiprationTime
     * @return
     */
    public boolean isTokenExpired(Date expiprationTime){
        return expiprationTime.before(new Date());
    }
    public String getSecret() {
        return secret;
    }

    public void setSecret(String secret) {
        this.secret = secret;
    }

    public Long getExpire() {
        return expire;
    }

    public void setExpire(Long expire) {
        this.expire = expire;
    }

    public String getHeader() {
        return header;
    }

    public void setHeader(String header) {
        this.header = header;
    }
}

JWT的生成和解析分别由jws.builder和jes.parse进行。具体的方法,可以去看官方文档或者自行百度,这里不做详细解释。注意,JwtUtil上有一个ConfigeratureProperties注解,这个注解是将application.yml文件的属性和当前类的属性做映射,也就是传统的SSM框架里的引入propertiy文件,因为springboot提倡使用类来代替,所以这个加上这个注解就相当于此类是一个属性类。

#jwt配置
dhb:
  jwt:
    # 加密秘钥
    secret: f4e2e52034348f86b67cde581c0f9eb5
    # token有效时长,7天,单位秒
    expire: 604800
    header: authorization

这是application.yml的其中一部分,可以看到上面类中的prefix对应这里的路径。

第二步

在AuthFilter(原来叫shiroFilter,命名冲突所以改了)里进行拦截处理,逻辑和上一篇文章一样。只不过上篇文章的所有逻辑我们都放在onAccessDenied()的方法里,现在我们都放到isaAssessAllowed()方法里,如果isAssessAllowed返回false,那么onAccessDenied直接返回false即可。


@Component("authFilter")
public class AuthFilter extends FormAuthenticationFilter {

    @Autowired
    JwtUtil jwtUtil;

    /**
     * 判断token是否为空、过期
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
            String token = getRequestToken((HttpServletRequest) request);
            if (ObjectUtils.isNull(token)){
                return false;
            }
            if (StringUtils.isBlank(token)) {
                throw new CustomException(jwtUtil.getHeader()+"不能为空", HttpStatus.SC_UNAUTHORIZED);
            }
            Claims claims = jwtUtil.parseToken(token);
            if (ObjectUtils.isNull(claims) || jwtUtil.isTokenExpired(claims.getExpiration())) {
                throw new CustomException(jwtUtil.getHeader()+"token过期",HttpStatus.SC_UNAUTHORIZED);
            }
        return true;
    }

    /**
     * 上面的方法如果返回false,则接下来会执行这个方法,如果返回为true,则不会执行这个方法
     * 判断是否为登录url,进一步判断请求是不是post
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 获取请求中的token,首先从请求头中获取,如果没有,则尝试从请求参数中获取
     *
     * @param request
     * @return
     */
    private String getRequestToken(HttpServletRequest request) {
        String token = request.getHeader(jwtUtil.getHeader());
        if (StringUtils.isBlank(token)) {
            token = request.getParameter(jwtUtil.getHeader());
        }
        return token;
    }
}

第三步:

当我们登录认证成功之后,将生成的加密的token返回给前端,部分代码如下。

 @PostMapping("login")
    public Map login(@RequestBody String info){
        User user = JSON.parseObject(info,User.class);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new 
              UsernamePasswordToken(user.getName(),user.getPassword());
        token.setRememberMe(true);
        subject.login(token);
        //返回的token
        String tokenBack = jwtUtil.generateToken(userId);

tokenBack就是最终返回给前端的加密的JWT。

测试结果如下:

{
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiI0MTQiLCJpYXQiOjE1NTg3ODk1NTAsImV4cCI6MTU1OTM5NDM1MH0.MzFzdOJCLbrG8c3j7WuJzj9NIPjrtLUL7n_AF913tS4"
}

以后每次请求都带上这个token来校验此次请求是否合法,到此为止,shiro结合JWT使用完毕。推荐使用JWT,安全性更高。

遇到的小问题:

1.在验证请求时,一开始AuthFilter里的jwtUtil总是为空,一开始以为是没有映射上,debug发现属性是映射了的,但是还是为null,那就说明JWTUtil没有注入进AuthFilter里去,这是什么原因呢,后来在网上找到了解决方案,spring容器对bean的管理原则是,如果你new了一个对象实例,那么使用autowired注解是无法注入的,在此new实例里面的引入的其他对象同样也不会注入

原来filter.put是filter.put("auth",new AuthFilter())这样的,我在这里直接new了AuthFilter实例,所以在它里面的JwtUtil即使加了autowired注解也是无法注入的。改写为上图的格式之后,最后在AuthFilter上加入component注解即可。感谢这位博主的文章。

2.在解决了上述问题之后,我就在想,我如果在程序启动之后能够清楚的看到当前spring容器中有哪些bean就更好了,就可以更快的定位问题,而不是像今天那样,一直去网上找解决问题的答案。了解了一下,springboot还真提供这样一个功能。叫Actuator,我还没细致研究过,官方文档在这里。

到此为止,项目中安全模块,shiro集成springboot加上JWT,目前已经足够了,终于可以去搞别的问题了。

 本专栏并没有提供相关完整的代码,不过,有一个前后端项目中整合了Shiro,如有需要,代码在这里

2021年12月1日更新

关于JWT的一些补充:

 本文专注于JWT和实际场景结合的实现,并使用io.jsonwebtoken库。如果想全面了解JWT以及其他类库如nimbus的使用,请参考JWT快速入门与使用

JackSparrow414
关注
  • 7
    点赞
  • 95
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
SpringBoot+Shiro+Jwt+Vue+elementUI实现前后端分离单体系统Demo
蚂蚁舞
04-26 1815
记录一下使用SpringBoot集成Shiro框架和Jwt框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro+Jwt(auth0),前端使用vue+elementUI框架,前后端的交互使用的是jwttokenshiro的会话关闭,后端只需要使用Shiro框架根据前端传来的jwttoken信息授权访问相应资源。
J2EEFAST:J2eeFAST是一个Java EE企业级快速开发平台,永久免费,真开源,拒绝标题党。基于经典技术组合(Spring Boot,Spring MVC,Apache Shiro,MyBatis-Plus,Freemarker,Bootstrap,AdminLTE)采用经典开发模式,在线代码生成功能,包括核心模块如:组织机构,角色用户,菜单和按钮授权,数据权限,系统参数,内容管理,许可证认证,BPM工作流等。采用松替代设计;界面无刷新,一键换肤;众多账号安全设置,密码策略;在线定时任务配置;
03-22
J2eeFAST J2eeFAST是一个Java EE企业级快速开发平台,基于经典技术组合(Spring Boot,Spring MVC,Apache Shiro,MyBatis-Plus,Freemarker,Bootstrap,AdminLTE)采用经典开发模式,让初学者能够Swift进行入门并从事在线代码生成功能,包括核心模块如:组织机构,角色用户,菜单及按钮授权,数据权限,系统参数,内容管理,许可证认证,BPM工作流等。无刷新,一键换肤;众多账号安全设置,密码策略;在线定时任务配置;支持多数据源;支持读写分离,分库分表。 软件架构 核心框架:Spring Boot 2.2.5.RELEASE 安全框架:Apache Shiro 1.4.2 模板引擎:Freemarker 上一篇:AdminLTE 2.3.8,Bootstrap 3.3.7,Bootstrap-Table 1.11
基于JWTShiro 做接口权限认证
最新发布
Karka_的博客
06-20 600
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8523
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Shiro整合JWT
m0_67391270的博客
03-28 1403
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
Shiro学习笔记---入门Demo(JWT令牌)
hamster204的专栏
05-24 227
前言 上一篇博客采用了搭建Demo的方式说明了如何使用Shiro共享session实现分布式架构。而本篇博客将介绍ShiroJWT结合,实现前后端分离。本Demo仍然力求简洁清晰,因此在工程代码中有与上一篇博客代码重合部分将被省略,如有不清楚的地方请先看第一篇关于Shiro基础博客然后再回来继续阅读。 业务设计 JWT :JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。与Shiro结合主要关注的是无状态服务...
springboot 集成shiro ,简单演示jwt
myth_g的博客
08-27 343
1.首先集成maven依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;version&gt;1.4.0&lt...
springboot整和jwtshiro、redis实现token自动刷新
08-19
结合JWT(JSON Web Token)和Shiro,我们可以构建一个高效的身份验证和授权系统,同时利用Redis缓存来提高性能和用户体验。下面将详细介绍如何在Spring Boot中整合JWTShiro和Redis实现Token自动刷新。 JWT是一种...
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot中结合Shiro使用Jwt,可以在用户登录成功后生成一个Jwt Token,然后将其返回给客户端。客户端每次请求时带上Token,服务器端验证Token的有效性,以此实现无状态的身份认证。 **Redis** 是一个高性能的...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 930
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTTokenJwtTokenJWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
SpringBoot整合Shiro+Jwt实现登录认证和授权
qq_32661327的博客
08-26 1999
shiro 简介 Subject:主体 代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面; SecurityManager:安全管理器 即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 3797
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证、Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
jwt的基础使用
dengdai123654的博客
05-01 438
jwt==Json Web Token 在前后端分离的项目中使用jwt来做请求的校验,权限处理等一系列相关操作,jwt是一个轻量级的插件使用起来非常便捷,且支持多种开发语言,Java、PHP、Python等语言都可以使用。 1、maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> ...
Shiro实现session和jwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1875
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
整合shiro+jwt,并会话共享
chengyuan的博客
08-14 707
shiro+jwt
Spring使用JWT生成tokenshiro
weixin_45257570的博客
12-01 1528
JWT生成token概要: 概要: JWT意思是Json web token,通过POST参数或者在HTTP header发送,然后进行验证,验证通过之后,就能返回响应的资源给浏览器。 通常和权限框架(如shiro)搭配使用 1.为什么使用JWT? 1.简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与
shiro使用token
10-14
Shiro可以使用token进行身份验证和授权。具体来说,可以使用JWT(JSON Web Token)作为token进行身份验证和授权。JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它可以包含用户的身份信息和权限信息,并使用签名进行验证,以确保信息的完整性和真实性。 在使用Shiro进行token身份验证和授权时,需要进行以下步骤: 1. 创建一个JWT token,并将用户的身份信息和权限信息加入到token中。 2. 将token发送给客户端。 3. 客户端在每次请求时将token发送给服务器。 4. 服务器使用Shiro进行token验证,并根据token中的身份信息和权限信息进行授权。
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值