shiro使用(增强版token,JWT和shiro结合使用)

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量3w 收藏 95
点赞数 7
分类专栏: Shiro 文章标签: restful java shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dghkgjlh/article/details/90551285
版权

既然要做,就要做的细致一点,对得起自己!

上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。

上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。

解决思路

将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。

第一步:编写一个JWT工具类,这个类负责token的加密,解密,是否过期等问题



/**
 * JWT token 工具类,提供JWT生成,校验,工作
 *
 * @Date 2019-05-25
 * @Description: TODO
 */
@ConfigurationProperties(prefix = "dhb.jwt")
@Component
public class JwtUtil {
    private Logger logger = LoggerFactory.getLogger(getClass());
    private String secret;
    private Long expire;
    private String header;


    /**
     *
     * 生成JWT token
     * @param userId
     * @return
     */
    public String generateToken(Long userId) {
        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId + "")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();

    }

    /**
     *
     * 解析JWT token
     * @param token
     * @return
     */
    public Claims parseToken(String token) {
        try {

            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            logger.info("解析token出错");
            return null;
        }
    }

    /**
     *
     * 校验token是否过期
     * @param expiprationTime
     * @return
     */
    public boolean isTokenExpired(Date expiprationTime){
        return expiprationTime.before(new Date());
    }
    public String getSecret() {
        return secret;
    }

    public void setSecret(String secret) {
        this.secret = secret;
    }

    public Long getExpire() {
        return expire;
    }

    public void setExpire(Long expire) {
        this.expire = expire;
    }

    public String getHeader() {
        return header;
    }

    public void setHeader(String header) {
        this.header = header;
    }
}

JWT的生成和解析分别由jws.builder和jes.parse进行。具体的方法,可以去看官方文档或者自行百度,这里不做详细解释。注意,JwtUtil上有一个ConfigeratureProperties注解,这个注解是将application.yml文件的属性和当前类的属性做映射,也就是传统的SSM框架里的引入propertiy文件,因为springboot提倡使用类来代替,所以这个加上这个注解就相当于此类是一个属性类。

#jwt配置
dhb:
  jwt:
    # 加密秘钥
    secret: f4e2e52034348f86b67cde581c0f9eb5
    # token有效时长,7天,单位秒
    expire: 604800
    header: authorization

这是application.yml的其中一部分,可以看到上面类中的prefix对应这里的路径。

第二步

在AuthFilter(原来叫shiroFilter,命名冲突所以改了)里进行拦截处理,逻辑和上一篇文章一样。只不过上篇文章的所有逻辑我们都放在onAccessDenied()的方法里,现在我们都放到isaAssessAllowed()方法里,如果isAssessAllowed返回false,那么onAccessDenied直接返回false即可。


@Component("authFilter")
public class AuthFilter extends FormAuthenticationFilter {

    @Autowired
    JwtUtil jwtUtil;

    /**
     * 判断token是否为空、过期
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
            String token = getRequestToken((HttpServletRequest) request);
            if (ObjectUtils.isNull(token)){
                return false;
            }
            if (StringUtils.isBlank(token)) {
                throw new CustomException(jwtUtil.getHeader()+"不能为空", HttpStatus.SC_UNAUTHORIZED);
            }
            Claims claims = jwtUtil.parseToken(token);
            if (ObjectUtils.isNull(claims) || jwtUtil.isTokenExpired(claims.getExpiration())) {
                throw new CustomException(jwtUtil.getHeader()+"token过期",HttpStatus.SC_UNAUTHORIZED);
            }
        return true;
    }

    /**
     * 上面的方法如果返回false,则接下来会执行这个方法,如果返回为true,则不会执行这个方法
     * 判断是否为登录url,进一步判断请求是不是post
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 获取请求中的token,首先从请求头中获取,如果没有,则尝试从请求参数中获取
     *
     * @param request
     * @return
     */
    private String getRequestToken(HttpServletRequest request) {
        String token = request.getHeader(jwtUtil.getHeader());
        if (StringUtils.isBlank(token)) {
            token = request.getParameter(jwtUtil.getHeader());
        }
        return token;
    }
}

第三步:

当我们登录认证成功之后,将生成的加密的token返回给前端,部分代码如下。

 @PostMapping("login")
    public Map login(@RequestBody String info){
        User user = JSON.parseObject(info,User.class);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new 
              UsernamePasswordToken(user.getName(),user.getPassword());
        token.setRememberMe(true);
        subject.login(token);
        //返回的token
        String tokenBack = jwtUtil.generateToken(userId);

tokenBack就是最终返回给前端的加密的JWT。

测试结果如下:

{
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiI0MTQiLCJpYXQiOjE1NTg3ODk1NTAsImV4cCI6MTU1OTM5NDM1MH0.MzFzdOJCLbrG8c3j7WuJzj9NIPjrtLUL7n_AF913tS4"
}

以后每次请求都带上这个token来校验此次请求是否合法,到此为止,shiro结合JWT使用完毕。推荐使用JWT,安全性更高。

遇到的小问题:

1.在验证请求时,一开始AuthFilter里的jwtUtil总是为空,一开始以为是没有映射上,debug发现属性是映射了的,但是还是为null,那就说明JWTUtil没有注入进AuthFilter里去,这是什么原因呢,后来在网上找到了解决方案,spring容器对bean的管理原则是,如果你new了一个对象实例,那么使用autowired注解是无法注入的,在此new实例里面的引入的其他对象同样也不会注入

原来filter.put是filter.put("auth",new AuthFilter())这样的,我在这里直接new了AuthFilter实例,所以在它里面的JwtUtil即使加了autowired注解也是无法注入的。改写为上图的格式之后,最后在AuthFilter上加入component注解即可。感谢这位博主的文章。

2.在解决了上述问题之后,我就在想,我如果在程序启动之后能够清楚的看到当前spring容器中有哪些bean就更好了,就可以更快的定位问题,而不是像今天那样,一直去网上找解决问题的答案。了解了一下,springboot还真提供这样一个功能。叫Actuator,我还没细致研究过,官方文档在这里。

到此为止,项目中安全模块,shiro集成springboot加上JWT,目前已经足够了,终于可以去搞别的问题了。

 本专栏并没有提供相关完整的代码,不过,有一个前后端项目中整合了Shiro,如有需要,代码在这里

2021年12月1日更新

关于JWT的一些补充:

 本文专注于JWT和实际场景结合的实现,并使用io.jsonwebtoken库。如果想全面了解JWT以及其他类库如nimbus的使用,请参考JWT快速入门与使用

JackSparrow414
关注
  • 7
    点赞
  • 95
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
JWT结合Springboot+shiro,session、token同时存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2577
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot整和jwtshiro、redis实现token自动刷新
08-19
结合JWT(JSON Web Token)和Shiro,我们可以构建一个高效的身份验证和授权系统,同时利用Redis缓存来提高性能和用户体验。下面将详细介绍如何在Spring Boot中整合JWTShiro和Redis实现Token自动刷新。 JWT是一种...
SpringBoot+Shiro+Jwt+Vue+elementUI实现前后端分离单体系统Demo
蚂蚁舞
04-26 1811
记录一下使用SpringBoot集成Shiro框架和Jwt框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro+Jwt(auth0),前端使用vue+elementUI框架,前后端的交互使用的是jwttokenshiro的会话关闭,后端只需要使用Shiro框架根据前端传来的jwttoken信息授权访问相应资源。
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 886
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
JWTShiro
bhegi_seg的博客
03-26 1464
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: shiro框架详解讲了一大堆,看起来好像不错,但实际结合jwt应用时,就显得一头雾水。 结合github上Spr
Shiro整合JWT
m0_67391270的博客
03-28 1396
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
Shiro实现session和jwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1866
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
整合shiro+jwt,并会话共享
chengyuan的博客
08-14 701
shiro+jwt
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot中结合Shiro使用Jwt,可以在用户登录成功后生成一个Jwt Token,然后将其返回给客户端。客户端每次请求时带上Token,服务器端验证Token的有效性,以此实现无状态的身份认证。 **Redis** 是一个高性能的...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web TokenJWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
手牵手带你整合Shiro+JWT实现认证功能
小咸白鱼的博客
11-23 7601
需要对 shirojwt 有一定的了解。 ShiroJWT的区别 ​ 整合之前需要清楚ShiroJWT的区别。 首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生成token的机制,需要我们自己编写相关的生成逻辑。 其次Shiro可以对权限进行管理,JWT在权限这部分也只能封装到token中,需要我们自己实现处理逻辑。 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存session,而是生成t.
springboot 集成shiro ,简单演示jwt
myth_g的博客
08-27 343
1.首先集成maven依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;version&gt;1.4.0&lt...
Shiro学习笔记---入门Demo(JWT令牌)
hamster204的专栏
05-24 227
前言 上一篇博客采用了搭建Demo的方式说明了如何使用Shiro共享session实现分布式架构。而本篇博客将介绍ShiroJWT结合,实现前后端分离。本Demo仍然力求简洁清晰,因此在工程代码中有与上一篇博客代码重合部分将被省略,如有不清楚的地方请先看第一篇关于Shiro基础博客然后再回来继续阅读。 业务设计 JWT :JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。与Shiro结合主要关注的是无状态服务...
Shiro(一)——Shrio增加token验证
Super__Bill的博客
04-06 3247
项目需求:Shrio增加token验证。 需求分析: 1.Shrio的认证方式的流程: 登录Controller中,根据输入的账号和密码创建token,然后调用subject.login(token)方法,subject会委托给securityManager,由securityManager再执行login方法。 由ModularRealmAuthenticator调用realm的doGetAut...
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 928
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTTokenJwtTokenJWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
SpringBoot整合Shiro+Jwt实现登录认证和授权
qq_32661327的博客
08-26 1991
shiro 简介 Subject:主体 代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面; SecurityManager:安全管理器 即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可
shiro使用token
10-14
Shiro可以使用token进行身份验证和授权。具体来说,可以使用JWT(JSON Web Token)作为token进行身份验证和授权。JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它可以包含用户的身份信息和权限信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值