shiro使用(增强版token,JWT和shiro结合使用)

既然要做,就要做的细致一点,对得起自己!

上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。

上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。

解决思路

将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。

第一步:编写一个JWT工具类,这个类负责token的加密,解密,是否过期等问题



/**
 * JWT token 工具类,提供JWT生成,校验,工作
 *
 * @Date 2019-05-25
 * @Description: TODO
 */
@ConfigurationProperties(prefix = "dhb.jwt")
@Component
public class JwtUtil {
    private Logger logger = LoggerFactory.getLogger(getClass());
    private String secret;
    private Long expire;
    private String header;


    /**
     *
     * 生成JWT token
     * @param userId
     * @return
     */
    public String generateToken(Long userId) {
        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId + "")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();

    }

    /**
     *
     * 解析JWT token
     * @param token
     * @return
     */
    public Claims parseToken(String token) {
        try {

            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            logger.info("解析token出错");
            return null;
        }
    }

    /**
     *
     * 校验token是否过期
     * @param expiprationTime
     * @return
     */
    public boolean isTokenExpired(Date expiprationTime){
        return expiprationTime.before(new Date());
    }
    public String getSecret() {
        return secret;
    }

    public void setSecret(String secret) {
        this.secret = secret;
    }

    public Long getExpire() {
        return expire;
    }

    public void setExpire(Long expire) {
        this.expire = expire;
    }

    public String getHeader() {
        return header;
    }

    public void setHeader(String header) {
        this.header = header;
    }
}

JWT的生成和解析分别由jws.builder和jes.parse进行。具体的方法,可以去看官方文档或者自行百度,这里不做详细解释。注意,JwtUtil上有一个ConfigeratureProperties注解,这个注解是将application.yml文件的属性和当前类的属性做映射,也就是传统的SSM框架里的引入propertiy文件,因为springboot提倡使用类来代替,所以这个加上这个注解就相当于此类是一个属性类。

#jwt配置
dhb:
  jwt:
    # 加密秘钥
    secret: f4e2e52034348f86b67cde581c0f9eb5
    # token有效时长,7天,单位秒
    expire: 604800
    header: authorization

这是application.yml的其中一部分,可以看到上面类中的prefix对应这里的路径。

第二步

在AuthFilter(原来叫shiroFilter,命名冲突所以改了)里进行拦截处理,逻辑和上一篇文章一样。只不过上篇文章的所有逻辑我们都放在onAccessDenied()的方法里,现在我们都放到isaAssessAllowed()方法里,如果isAssessAllowed返回false,那么onAccessDenied直接返回false即可。


@Component("authFilter")
public class AuthFilter extends FormAuthenticationFilter {

    @Autowired
    JwtUtil jwtUtil;

    /**
     * 判断token是否为空、过期
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
            String token = getRequestToken((HttpServletRequest) request);
            if (ObjectUtils.isNull(token)){
                return false;
            }
            if (StringUtils.isBlank(token)) {
                throw new CustomException(jwtUtil.getHeader()+"不能为空", HttpStatus.SC_UNAUTHORIZED);
            }
            Claims claims = jwtUtil.parseToken(token);
            if (ObjectUtils.isNull(claims) || jwtUtil.isTokenExpired(claims.getExpiration())) {
                throw new CustomException(jwtUtil.getHeader()+"token过期",HttpStatus.SC_UNAUTHORIZED);
            }
        return true;
    }

    /**
     * 上面的方法如果返回false,则接下来会执行这个方法,如果返回为true,则不会执行这个方法
     * 判断是否为登录url,进一步判断请求是不是post
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 获取请求中的token,首先从请求头中获取,如果没有,则尝试从请求参数中获取
     *
     * @param request
     * @return
     */
    private String getRequestToken(HttpServletRequest request) {
        String token = request.getHeader(jwtUtil.getHeader());
        if (StringUtils.isBlank(token)) {
            token = request.getParameter(jwtUtil.getHeader());
        }
        return token;
    }
}

第三步:

当我们登录认证成功之后,将生成的加密的token返回给前端,部分代码如下。

 @PostMapping("login")
    public Map login(@RequestBody String info){
        User user = JSON.parseObject(info,User.class);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new 
              UsernamePasswordToken(user.getName(),user.getPassword());
        token.setRememberMe(true);
        subject.login(token);
        //返回的token
        String tokenBack = jwtUtil.generateToken(userId);

tokenBack就是最终返回给前端的加密的JWT。

测试结果如下:

{
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiI0MTQiLCJpYXQiOjE1NTg3ODk1NTAsImV4cCI6MTU1OTM5NDM1MH0.MzFzdOJCLbrG8c3j7WuJzj9NIPjrtLUL7n_AF913tS4"
}

以后每次请求都带上这个token来校验此次请求是否合法,到此为止,shiro结合JWT使用完毕。推荐使用JWT,安全性更高。

遇到的小问题:

1.在验证请求时,一开始AuthFilter里的jwtUtil总是为空,一开始以为是没有映射上,debug发现属性是映射了的,但是还是为null,那就说明JWTUtil没有注入进AuthFilter里去,这是什么原因呢,后来在网上找到了解决方案,spring容器对bean的管理原则是,如果你new了一个对象实例,那么使用autowired注解是无法注入的,在此new实例里面的引入的其他对象同样也不会注入

原来filter.put是filter.put("auth",new AuthFilter())这样的,我在这里直接new了AuthFilter实例,所以在它里面的JwtUtil即使加了autowired注解也是无法注入的。改写为上图的格式之后,最后在AuthFilter上加入component注解即可。感谢这位博主的文章。

2.在解决了上述问题之后,我就在想,我如果在程序启动之后能够清楚的看到当前spring容器中有哪些bean就更好了,就可以更快的定位问题,而不是像今天那样,一直去网上找解决问题的答案。了解了一下,springboot还真提供这样一个功能。叫Actuator,我还没细致研究过,官方文档在这里。

到此为止,项目中安全模块,shiro集成springboot加上JWT,目前已经足够了,终于可以去搞别的问题了。

 本专栏并没有提供相关完整的代码,不过,有一个前后端项目中整合了Shiro,如有需要,代码在这里

2021年12月1日更新

关于JWT的一些补充:

 本文专注于JWT和实际场景结合的实现,并使用io.jsonwebtoken库。如果想全面了解JWT以及其他类库如nimbus的使用,请参考JWT快速入门与使用

  • 7
    点赞
  • 95
    收藏
    觉得还不错? 一键收藏
  • 19
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值