使用Spring Boot整合Shiro和JWT实现基于注解的权限控制

已于 2023-07-28 14:27:57 修改
阅读量1.7k 收藏 3
点赞数 2
分类专栏: java Springboot 文章标签: Shiro spring boot java
于 2023-07-28 14:14:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jam_yin/article/details/131978985
版权

引言

在Web应用程序中,权限控制是保护资源和确保用户访问安全的重要组成部分。Shiro是一个强大的安全框架,而JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。本文将介绍如何使用Spring Boot整合Shiro和JWT,并通过注解实现基于角色和权限的权限控制。

1. 环境准备

在开始之前,确保已经准备好以下环境:

  • JDK 8+
  • Maven
  • Spring Boot

2. 添加依赖

首先,在pom.xml文件中添加以下依赖:

<dependencies>
    <!-- Spring Boot Starter -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <!-- Shiro Starter -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring-boot-starter</artifactId>
        <version>1.7.1</version>
    </dependency>

    <!-- JWT -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-api</artifactId>
        <version>0.11.2</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-impl</artifactId>
        <version>0.11.2</version>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-jackson</artifactId>
        <version>0.11.2</version>
        <scope>runtime</scope>
    </dependency>
</dependencies>

这些依赖包括了Spring Boot Starter、Shiro Starter和JWT相关的依赖。

3. 配置Shiro

application.properties文件中添加以下配置:

# Shiro配置
shiro:
  jwt:
    secret: your_secret_key
    expiration: 86400000

上述配置中,secret是用于生成JWT的密钥,expiration是JWT的过期时间(单位:毫秒)。

4. 编写Shiro配置类

创建一个ShiroConfig类,用于配置Shiro的相关信息和组件:

@Configuration
public class ShiroConfig {

    @Bean
    public Realm realm() {
        return new MyRealm();
    }

    @Bean
    public DefaultWebSecurityManager securityManager(Realm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        chainDefinition.addPathDefinition("/login", "anon");
        chainDefinition.addPathDefinition("/**", "authc");
        return chainDefinition;
    }
}

上述配置中,realm()方法用于创建自定义的Realm,securityManager()方法创建SecurityManager,并设置Realm,shiroFilterChainDefinition()方法用于配置URL的访问权限。

5. 编写自定义Realm

创建一个MyRealm类,继承AuthorizingRealm,并实现相关的方法:

public class MyRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取当前用户的角色和权限信息
        String username = (String) principals.getPrimaryPrincipal();
        Set<String> roles = getRolesByUsername(username);
        Set<String> permissions = getPermissionsByUsername(username);

        // 创建授权信息对象
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(roles);
        authorizationInfo.setStringPermissions(permissions);

        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取用户名和密码
        String username = (String) token.getPrincipal();
        String password = getPasswordByUsername(username);

        if (password == null) {
            throw new UnknownAccountException();
        }

        // 创建认证信息对象
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName());

        return authenticationInfo;
    }

    // 模拟从数据库中获取用户角色信息
    private Set<String> getRolesByUsername(String username) {
        // ...
    }

    // 模拟从数据库中获取用户权限信息
    private Set<String> getPermissionsByUsername(String username) {
        // ...
    }

    // 模拟从数据库中获取用户密码
    private String getPasswordByUsername(String username) {
        // ...
    }
}

doGetAuthorizationInfo()方法 

    // 模拟从数据库中获取用户角色信息
    private Set<String> getRolesByUsername(String username) {
        // ...
    }

    // 模拟从数据库中获取用户权限信息
    private Set<String> getPermissionsByUsername(String username) {
        // ...
    }

    // 模拟从数据库中获取用户密码
    private String getPasswordByUsername(String username) {
        // ...
    }

MyRealm类中,我们重写了doGetAuthorizationInfo()方法用于获取当前用户的角色和权限信息,并创建授权信息对象。在doGetAuthenticationInfo()方法中,我们根据用户名获取密码,并创建认证信息对象。

6. 编写登录接口

创建一个LoginController类,用于处理用户登录请求:

@RestController
public class LoginController {

    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) {
        // 验证用户名和密码
        boolean valid = authenticate(username, password);

        if (valid) {
            // 生成JWT
            String jwt = generateJWT(username);

            // 返回JWT给客户端
            return jwt;
        } else {
            throw new AuthenticationException("Invalid username or password");
        }
    }

    // 验证用户名和密码
    private boolean authenticate(String username, String password) {
        // ...
    }

    // 生成JWT
    private String generateJWT(String username) {
        // ...
    }
}

LoginController类中,我们通过/login接口处理用户登录请求。首先,验证用户名和密码是否正确。如果验证通过,我们生成JWT,并将其返回给客户端。

7. 编写自定义注解

创建一个RequiresPermissions注解,用于标注需要进行权限验证的方法:

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {

    String[] value();
}

8. 编写权限验证切面

创建一个PermissionAspect类,用于实现权限验证的切面:

@Aspect
@Component
public class PermissionAspect {

    @Autowired
    private HttpServletRequest request;

    @Around("@annotation(requiresPermissions)")
    public Object checkPermissions(ProceedingJoinPoint joinPoint, RequiresPermissions requiresPermissions) throws Throwable {
        // 获取请求的URL和用户信息
        String url = request.getRequestURI();
        String username = getUsernameFromJWT();

        // 校验用户是否具有访问权限
        boolean hasPermission = checkUserPermissions(username, url, requiresPermissions.value());

        if (hasPermission) {
            // 允许访问
            return joinPoint.proceed();
        } else {
            throw new AuthorizationException("Access denied");
        }
    }

    // 从JWT中获取用户名
    private String getUsernameFromJWT() {
        // ...
    }

    // 校验用户是否具有访问权限
    private boolean checkUserPermissions(String username, String url, String[] permissions) {
        // ...
    }
}

PermissionAspect类中,我们使用@Around注解定义了一个环绕通知,用于在方法执行前进行权限验证。通过@annotation(requiresPermissions)指定了需要进行权限验证的方法,并获取请求的URL和用户信息。然后,我们校验用户是否具有访问权限,如果有权限则允许访问,否则抛出异常。

9. 使用注解进行权限控制

在需要进行权限控制的方法上使用@RequiresPermissions注解:

@RestController
public class UserController {

    @GetMapping("/users")
    @RequiresPermissions("user:list")
    public List<User> getUsers() {
        // 获取用户列表
        // ...
    }

    @PostMapping("/users")
    @RequiresPermissions("user:create")
    public User createUser(@RequestBody User user) {
        // 创建用户
        // ...
    }

    @DeleteMapping("/users/{id}")
    @RequiresPermissions("user:delete")
    public void deleteUser(@PathVariable Long id) {
        // 删除用户
        // ...
    }
}

在上述示例中,我们使用@RequiresPermissions注解对getUsers()createUser()deleteUser()方法进行了权限控制。只有具有相应权限的用户才能访问这些方法。

结论

本文介绍了如何使用Spring Boot整合Shiro和JWT,并通过注解实现基于角色和权限的权限控制。我们通过配置Shiro和编写自定义Realm实现用户的认证和授权,使用JWT生成和验证身份信息,通过自定义注解和切面实现基于注解的权限控制。这样,我们可以轻松地在Spring Boot应用中实现灵活且安全的权限管理。

👉 💐🌸 公众号请关注 "果酱桑", 一起学习,一起进步! 🌸💐

参考文献:

一叶飘零_sweeeet
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro&JWT实现用户登录和权限管理
qq_40585384的博客
04-06 3530
Shiro&JWT&权限管理开始之前我们先了解两个概念认证(authentication)授权(authorization)shirojwt的简单介绍实现认证和授权的整体思路数据库表设计代码实现登录JWT生成token(附带验证的一些工具类)过滤器自定义MyRealmMyRealm的解释Shiro注解代码测试登录登入获取token未携带token访问资源未携带token访问资源携...
springboot2+shiro+JWT实现权限校验功能——通过注解方式实现
huanger_的博客
07-27 396
shiro通过注解方式实现权限校验颗粒度概述总体概述总体步骤1、开启注解的支持2、编写doGetAuthorizationInfo进行授权3、在控制器中添加注解进行权限控制4、编写异常处理类测试 颗粒度概述 权限颗粒度分为粗粒度和细粒度: 粗粒度:用户具有CRUD中的某些完整的权限,通常指表的操作 细粒度:用户只允许操作表中的某些特定的数据,例如:用户只允许操作id为1,2,3,4的数据 shiro权限控制是粗粒度的,可以通过业务代码实现细粒度的权限控制 总体概述 shiro进行权限验证的前提是用户已经登
SpringBoot整合Shiro实现权限管理
最新发布
2401_85117868的博客
06-18 613
/配置安全管理器//获得Subject对象//创建账号密码token//登录验证//权限判断System.out.println(“是否登录成功:” + subject.isAuthenticated());System.out.println(“是否拥有role1角色:” + subject.hasRole(“role1”));System.out.println(“是否拥有delete权限:” + subject.isPermitted(“user:delete”));
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Boot整合Shiro+JWT实现前后端分了的安全认证权限框架
mingzq123的博客
03-27 416
Component@Slf4j@Override@Override@Override//获取token//验证tokentry {throw new RuntimeException("token解析失败");throw new RuntimeException("token过期");@Slf4j/*** 对跨域提供支持*/@Override// 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态/**
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
Java专题_01】springboot+Shiro+Jwt整合方案
热门推荐
weixin_40736233的博客
04-02 1万+
Java专题_01】springboot+Shiro+Jwt整合方案
基于SpringBoot实现Shiro整合JWT
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
02-26 2211
在上一篇文章基于SpringBootShiro完成了对shiro整合,这一篇文章我们不妨对项目进行进一步优化,完成基于JWT优化安全校验框架的优化。调用登录接口。若登录通过,即可直接使用当前登录角色的权限调用相关接口。但是这种方式也存在着一定的局限性,由于Shiro认证后会将结果缓存在session会话中,对于分布式结构,session不共享的局限性就暴露出来了。所以为了保证一处认证,处处服务器可用,我们需要整合JWT来完善这个现有的认证逻辑。
SpringBoot-Shiro-JWT:spring boot 结合shirojwt技术的实践
04-29
在IT行业中,Spring BootShiroJWT是三个非常重要的技术组件,它们分别在不同的领域发挥作用,但在实际项目中,常常被结合起来以实现更高效、安全的权限管理。本篇文章将详细探讨如何将Spring BootShiro整合,...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 中集成 Shiro使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...
spring boot 整合JWT+shiro
10-09
总的来说,这个Demo项目是一个很好的起点,让初学者了解如何在`Spring Boot`应用中整合`JWT`和`Shiro`,实现安全的身份验证和权限控制。通过学习和实践,你可以更好地理解这些技术的工作原理,并将其应用到实际的...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
Spring-Boot-ShiroShiro基于SpringBoot + JWT构建简单的restful服务
02-03
Shiro + JWT + Spring Boot Restful简易教程GitHub项目地址: : 。序言我也是半路出家的人,如果大家有什么好的意见或批评,请重新issue 。如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令可以进行...
shiro-jwt-springbootshiro合并jwt前进行分离权限认证示例
01-29
在本文中,我们将深入探讨如何将JWT(JSON Web Token)与Apache Shiro框架结合使用,以便在Spring Boot应用中实现安全的权限认证。这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证...
SpingBoot整合ShiroJWT
weixin_46648650的博客
03-14 5912
SpingBoot整合ShiroJWT 项目地址:https://github.com/seam95/SpringBoot-Shiro-Jwt.git Shiro学习知识点 Authentication:身份认 证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Management:会话管
Springboot+Shiro+Jwt实现简单的权限控制
Java技术攻略的博客
04-24 1609
因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。书写顺序。
jwt结合shiro实现认证和权限控制,非常详细
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
Springboot+Shiro+Jwt实现权限控制
2301_76607156的博客
04-24 1867
因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。书写顺序。
springboot shiro jwt实现权限控制
07-29
Spring Boot 是一个用于创建独立的、基于生产级别的 Spring 应用程序的框架,而 Shiro 是一个强大且易于使用Java 安全框架,用于身份认证、授权和会话管理。JWT (JSON Web Token) 是一种用于表示声明的安全令牌。 要在 Spring Boot使用 ShiroJWT 实现权限控制,可以按照以下步骤进行操作: 1. 添加依赖:在 Maven 或 Gradle 文件中添加 Spring BootShiroJWT 的依赖项。 2. 配置 Shiro:创建一个 Shiro 的配置类,配置 Shiro 的安全管理器、自定义 Realm、会话管理器等。 3. 实现 JWT 认证过滤器:创建一个 JWT 认证过滤器,用于解析请求中的 JWT 并进行用户认证。 4. 实现自定义 Realm:创建一个自定义 Realm,用于从数据库或其他数据源中获取用户信息和权限信息。 5. 定义用户认证和权限注解:根据需要,可以定义一些自定义的注解,用于标识需要进行身份认证或权限控制的方法或接口。 6. 编写控制器:编写控制器类来处理请求,根据用户的认证状态和权限信息来决定是否允许访问资源。 以上是一个大致的步骤,具体实现的细节可以根据你的需求和项目结构进行调整。这里只是提供了一个基本的思路,希望对你有所帮助。如果你需要更详细的代码示例,可以提供更具体的需求和项目背景,我可以给你提供更多的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值