SpringBoot 整合 shiro 前后端分离

最新推荐文章于 2024-05-09 11:12:43 发布
最新推荐文章于 2024-05-09 11:12:43 发布
阅读量763 收藏 2
点赞数
分类专栏: springBoot java 文章标签: java spring boot jwt shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dndndnnffj/article/details/106992030
版权

SpringBoot 整合 shiro 前后端分离

最近看了个 github 的开源项目,里面就使用到了shiro实现前后端分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。

虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址: https://github.com/zykzhangyukang/Xinguan

1.导入依赖,编写工具类

Mavne 依赖

<!-- 前后端分离 采用 jwt生成token-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.2.0</version>
</dependency>

<!-- shiro依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

JWTUtils 工具类

public class JWTUtils {
    /**
     * 过期时间 单位 毫秒
     */
    private static  long EXPIRE_TIME;

    //初始化 token过期时间 默认 6小时
    static{
        try { //这里是从 application.properties内读取的配置  也可以直接写个产量
            EXPIRE_TIME =Integer.parseInt(PropertiesUtils.getConfig("token.expireTime"));
        } catch (NumberFormatException e) {
            EXPIRE_TIME = 1000*60*60*6;
        }
    }

    /**
     * 校验token是否正确
     * @param token 密钥
     * @param password 用户的密码
     * @return 是否正确
     */
    public static boolean verify(String token, String username, String password) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(password);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /**
     * 获得token中的信息无需secret解密也能获得
     * @return token中包含的用户名
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 生成签名
     * @param username 用户名
     * @param password 用户的密码
     * @return 加密的token
     */
    public static String sign(String username, String password) {
        try {
            //设置过期时间
            Date date = new Date(System.currentTimeMillis()+EXPIRE_TIME);
            //加密密码
            Algorithm algorithm = Algorithm.HMAC256(password);
            // 附带username信息
            return JWT.create()
                    .withClaim("username", username)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
            return null;
        }
    }

    /**
     * 判断过期
     * @param token
     * @return
     */
    public static boolean isExpire(String token){
        DecodedJWT jwt = null;
        try {
            jwt = JWT.decode(token);
        } catch (JWTDecodeException e) {
           return true;
        }
        return System.currentTimeMillis()>jwt.getExpiresAt().getTime();
    }
}

MD5 加密工具类

public class MD5Utils {
    /**
     * 密码加密
     */
    public static String md5Encryption(String source,String salt){
        String algorithmName = "MD5";//加密算法
        int hashIterations = 1024;//加密次数
        SimpleHash simpleHash = new SimpleHash(algorithmName,source,salt,hashIterations);
        return simpleHash+"";
    }
}

2 开始整合

自定义 Realm

@Component
public class UserRealm extends AuthorizingRealm {
	//这里同 concurrentHashMap简单实现缓存, 项目中建议将用户权限信息放入redis缓存中
    private static final Map<String,ActiveUser> userCache = new ConcurrentHashMap();

    @Autowired
    private UserService userService; //这里是我自己项目中的 userService 

    //必须重写该方法 否则 用自定义token 会不匹配
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        ActiveUser activeUser = (ActiveUser) SecurityUtils.getSubject().getPrincipal();

        List<Role> roles = activeUser.getRoles();
        List<Menu> menus = activeUser.getMenus();

        activeUser.setRoles(roles);
        activeUser.setMenus(menus);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        for(Role temp : roles){
            String roleName = temp.getRoleName();
            info.addRole(roleName);
        }

        for(Menu menu : menus){
            String perms = menu.getPerms();
            info.addStringPermission(perms);
        }
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取token(在登录接口会生成,往后看就能明白)
        String token = (String)authenticationToken.getPrincipal();
        //如果token为null 抛出异常 交给统一异常处理类来处理异常返回结果(@ExceptionHandler)
        if(token==null){
            throw new AuthenticationException("请登陆");
        }
		//解析token 获取用户名
        String username = JWTUtils.getUsername(token);
		//如果解析失败
        if(username==null){
            throw new AuthenticationException("Token 解析错误");
        }
		//通过用户名查询用户信息
        User user = userService.getUserByUserName(username);
        //如果查询不到,说明用户不存在
        if(user==null){
            throw new UnknownAccountException("账户不存在");
        }
		//这里根据项目的业务逻辑进行配置
        if(user.getStatus()==1){
            throw new LockedAccountException("账号被锁定");
        }
		//判断token是否过期
        if(JWTUtils.isExpire(token)){
            throw new AccountException("token已过期,请重新登陆");
        }
        //验证
        if(!JWTUtils.verify(token,username,user.getPassword())){
            throw new CredentialsException("密码错误");
        }
        //先从缓存内获取用户信息 可换成redis 逻辑是一样的
        ActiveUser cacheUser = userCache.get(user.getUsername());

        //如果缓存不为null 直接返回
        if(cacheUser!=null){
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(cacheUser,token,getName());
            return info;
        }
		//查询数据库
        ActiveUser activeUser = new ActiveUser();
        activeUser.setUsername(user.getUsername());
        activeUser.setUserId(user.getId());
        activeUser.setUser(user);

        //获取用户角色和权限
        Long userId = user.getId();

        List<Role> roles = userService.getUserRoleById(userId);
        List<Menu> menus = userService.getUserMenuById(userId);

        activeUser.setRoles(roles);
        activeUser.setMenus(menus);

        //放入缓存
        userCache.put(user.getUsername(),activeUser);
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(activeUser,token,getName());
		//返回 SimpleAuthenticationInfo 交给shiro处理 底层调用equals判断
        return info;
    }
}

 

自定义 Token

 

public class JwtToken implements AuthenticationToken {
    //自定义简单实现即可,主要功能是为了验证时的数据交互
    private String token;

    public JwtToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

 

自定义 Filter

 

public class JwtFilter extends AccessControlFilter {


    @Override  //在访问前判断 如果 返回true 直接放行 允许访问
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        Subject subject = SecurityUtils.getSubject();

        HttpServletRequest request = (HttpServletRequest)servletRequest;
        String token = request.getHeader("token");
        if(token ==null || JWTUtils.isExpire(token)) return false;

        return subject.isAuthenticated();
    }

    @Override  //当上面方法返回false 会调用 onAccessDenied 进行验证 如果返回true 也放行 
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        System.out.println("验证不通过再次验证==>");
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        
        String token = request.getHeader("token");
        JwtToken jwtToken = new JwtToken(token);

        Subject subject = SecurityUtils.getSubject();

        //登陆
        try {
            subject.login(jwtToken);
        } catch (ShiroException e) {
            e.printStackTrace();
            System.out.println( e.getLocalizedMessage());
            outputError((HttpServletResponse)servletResponse,e);
        }
        return subject.isAuthenticated();
    }

    /**
     * 对跨域提供支持 防止跨域时获取不到 token请求头
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

	//用于输出异常 只是一个普通方法
    public void outputError(HttpServletResponse response, Exception e){
        response.setContentType("application/json; charset=utf-8");

        try (PrintWriter writer = response.getWriter()){
            ObjectMapper objectMapper = new ObjectMapper();
            writer.write(objectMapper.writeValueAsString(ResponseBean.error(4001,e.getMessage())));
        } catch (IOException ex) {
            ex.printStackTrace();
        }
    }

}

 

Shiro配置

@Configuration
public class ShiroConfig {

    @Bean  
    public DefaultWebSecurityManager webSecurityManager(@Autowired UserRealm userRealm){
        //配置 自定义的realm
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(userRealm);
        
        //禁用session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);
        return manager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Autowired DefaultWebSecurityManager defaultWebSecurityManager){
        //配置过滤器
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(defaultWebSecurityManager);

        Map filters = new HashMap();
        //注册自己的filter 进行验证 
        filters.put("myFilter",new JwtFilter());

        bean.setFilters(filters);

        Map chainMap = new LinkedHashMap<>();
        chainMap.put("/swagger-ui.html", "anon");
        chainMap.put("/webjars/**","anon");
        chainMap.put("/swagger-resources/**","anon");
        chainMap.put("/v2/**","anon");
        chainMap.put("/404.html","anon");
        chainMap.put("/user/login", "anon");
        chainMap.put("/**", "myFilter");//使用我们自定义的filter过滤器
	
        bean.setFilterChainDefinitionMap(chainMap);
        return bean;
    }

}

 

3登录接口

@PostMapping("/login")
    public ResponseBean login(HttpServletRequest request, @Validated String username,  String password){

        log.info("用户:{}开始登陆",username);
        User user = userService.getUserByUserName(username);
        if(user == null){
            throw new UnknownAccountException("账户不存在");
        }
        String token = JWTUtils.sign(username, MD5Utils.md5Encryption(password, user.getSalt()));
        JwtToken jwtToken = new JwtToken(token);
        Subject subject = SecurityUtils.getSubject();
        subject.login(jwtToken);

        userService.addLoginLog(request);
        if(subject.isAuthenticated()){
            ResponseBean bean = ResponseBean.success("登陆成功");
            bean.setData(token);
            log.info("用户:{}登录成功",username);
            return bean;
        }
        return ResponseBean.error("登陆失败");
    }

 

 

 

 

 

 

 

 

 

 

 

 

爱码猿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot 集成 Shiro 实现前后端分离
进阶的球儿
09-27 4882
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目是前后端分离的,所以要求做到实现前后端分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro 做授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
SpringBoot整合shiro(基础版)
weixin_45136521的博客
12-05 235
要走shiro的授权方法,需要在方法上打上权限标签,否则默认不会走这里。默认没有权限会直接走shiro中的“authc” 中的onAccessDenied 方法,默认自动跳转到/login.jsp页面 加入maven依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId>
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 512
作者|GIT提交不上|简书一、Shiro简介  Apache ShiroJava的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
springBoot整合shiro
风清扬门下的博客
08-11 162
1新建spring项目 导入依赖:`<?xml version="1.0" encoding="UTF-8"?> 4.0.0 org.springframework.boot spring-boot-starter-parent 2.3.2.RELEASE com.myshrio demo 0.0.1-SNAPSHOT <name>demo</name> <description>Demo project for Spring Boot</de
2024年最新Spring Boot 整合 Shiro ,两种方式全总结!,linux知识点总结
最新发布
2301_79099416的博客
05-09 417
创建一个 Spring Boot 项目,只需要添加 Web 依赖即可:项目创建成功后,加入 Shiro 相关的依赖,完整的 pom.xml 文件中的依赖如下:shiro-web1.4.01.4.0接下来我们来自定义核心组件 Realm:@Override@Overrideif (!throw new UnknownAccountException(“账户不存在!”);在 Realm 中实现简单的认证操作即可,不做授权,授权的具体写法和 SSM 中的 Shiro 一样,不赘述。
java前后端分离shiro_shiro整合springboot前后端分离
weixin_35927509的博客
03-08 346
本文实例为大家分享了shiro整合springboot前后端分离的具体代码,供大家参考,具体内容如下1、shiro整合springboot的配置package com.hisi.config;import java.util.LinkedHashMap;import java.util.Map;import javax.servlet.Filter;import org.apache.shiro....
Springboot +Shiro +VUE 前后端分离式权限管理系统
y19910825的博客
01-18 2219
Springboot +Shiro +VUE 前后端分离式权限管理系统
Springboot整合shiro(及yaml配置形式)
web13985085406的博客
04-26 966
1.shiro是什么 Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: 1. Subject:主体,一般指用户。 2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) 3. Realms:用于进行权限
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
springboot+shiro+swagger2前后端分离整合
03-03
本项目"springboot+shiro+swagger2前后端分离整合"提供了一个实用的框架组合,旨在帮助开发者快速搭建这样的应用。以下是对这个项目及其组成部分的详细解析: 1. **Spring Boot**: Spring Boot是由Pivotal团队...
Shiro+Cas微服务化及前后端完全分离
08-25
"Shiro+Cas微服务化及前后端完全分离" Shiro+Cas微服务化及前后端完全分离是当前热门的IT技术方向之一,本文将为大家详细介绍Shiro+Cas微服务化及前后端完全分离的相关知识点。 一、Shiro简介 Shiro是一个基于...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot + shiro 实现登录认证和权限控制
weixin_33908217的博客
04-23 177
前言 这段时间在学习springboot,在spring security和shiro中选择了shiro,原因就是shiro学习成本比较低,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,,而且粗粒度也可以根据需要来定制,所以使用小而简单的Shiro就足够了。本文主要参考了z77z的SpringBoot+shiro整合学习之登录认证和权限控制 源码项...
Springboot使用shiro
qq_38345598的博客
01-28 3759
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
使用springboot整合shiro和token实现用户的身份验证和权限控制
sqlgao22的博客
08-11 2万+
使用springboot整合shiro和token实现用户的身份验证和权限控制 使用shiro请看:https://blog.csdn.net/sqlgao22/article/details/98506479 使用token请看:https://blog.csdn.net/sqlgao22/article/details/98532943 由于已经分别学习了shiro和token想到整合在一起使...
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7087
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1049
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro中处理。
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
springboot整合shiro前后端分离
03-16
Spring Boot整合Shiro可以实现前后端分离的安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入ShiroSpring Boot相关依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值