Shiro整合JWT – 通过URL控制权限

最新推荐文章于 2024-09-04 23:22:25 发布
最新推荐文章于 2024-09-04 23:22:25 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: Springboot java 文章标签: Shiro java spring boot JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jam_yin/article/details/131979242
版权

在现代的Web应用中,权限控制是一个非常重要的功能。Apache Shiro是一个强大且灵活的安全框架,而JSON Web Token(JWT)则是一种流行的身份验证和授权机制。本文将介绍如何使用Shiro整合JWT,并通过URL控制权限。

目录

  • 介绍
  • 准备工作
  • 整合Shiro和JWT
    • 添加依赖
    • 配置Shiro
    • 编写自定义Realm
    • 编写登录接口
    • 生成和验证JWT
  • 通过URL控制权限
    • 自定义注解
    • 编写权限验证切面
    • 使用注解进行权限控制
  • 总结

介绍

权限控制是保护Web应用中敏感资源的关键。Shiro是一个功能强大且易于使用的Java安全框架,提供了身份验证、授权、加密和会话管理等功能。而JWT是一种轻量级的身份验证和授权机制,通过使用JSON格式的令牌来传递安全凭据。

本文将介绍如何使用Shiro整合JWT,通过URL控制权限。我们将使用Spring Boot作为基础框架,并通过示例代码详细讲解每个步骤。

准备工作

在开始之前,确保你已经安装了以下工具和环境:

  • JDK 8+
  • Maven
  • IDE(如IntelliJ IDEA或Eclipse)

整合Shiro和JWT

添加依赖

首先,我们需要在pom.xml文件中添加Shiro和JWT的依赖:

<!-- Shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-starter</artifactId>
    <version>1.7.1</version>
</dependency>

<!-- JWT -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

配置Shiro

application.properties文件中配置Shiro:

# 配置Shiro的Web过滤器
shiro.filter.loginUrl = /login
shiro.filter.successUrl = /home
shiro.filter.unauthorizedUrl = /unauthorized

# 配置Shiro的Realm
shiro.realm = com.example.MyRealm

编写自定义Realm

创建一个MyRealm类,继承AuthorizingRealm并实现必要的方法:

public class MyRealm extends AuthorizingRealm {

    // 重写方法,用于获取用户角色和权限信息
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // ...
    }

    // 重写方法,用于验证用户身份
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // ...
    }

    // 模拟从数据库中获取用户角色信息
    private Set<String> getRolesByUsername(String username) {
        // ...
    }

    // 模拟从数据库中获取用户权限信息
    private Set<String> getPermissionsByUsername(String username) {
        // ...
    }

    // 模拟从数据库中获取用户密码
    private String getPasswordByUsername(String username) {
        // ...
    }
}

MyRealm类中,我们重写了doGetAuthorizationInfo()方法用于获取当前用户的角色和权限信息,并创建授权信息对象。在doGetAuthenticationInfo()方法中,我们根据用户名获取密码,并创建认证信息对象。

编写登录接口

创建一个LoginController类,用于处理用户登录请求:

@RestController
public class LoginController {

    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) {
        // 验证用户名和密码
        boolean valid = authenticate(username, password);

        if (valid) {
            // 生成JWT
            String jwt = generateJWT(username);

            // 返回JWT给客户端
            return jwt;
        } else {
            throw new AuthenticationException("Invalid username or password");
        }
    }

    // 验证用户名和密码
    private boolean authenticate(String username, String password) {
        // ...
    }

    // 生成JWT
    private String generateJWT(String username) {
        // ...
    }
}

LoginController类中,我们通过/login接口处理用户登录请求。首先,验证用户名和密码是否正确。如果验证通过,我们生成JWT,并将其返回给客户端。

生成和验证JWT

创建一个JwtUtils类,用于生成和验证JWT:

public class JwtUtils {

    private static final String SECRET_KEY = "your_secret_key";
    private static final long EXPIRATION_TIME = 86400000; // 24 hours

    public static String generateJWT(String username) {
        Date now = new Date();
        Date expiration = new Date(now.getTime() + EXPIRATION_TIME);

        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(now)
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    public static String getUsernameFromJWT(String jwt) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwt)
                .getBody();

        return claims.getSubject();
    }

    public static boolean validateJWT(String jwt) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(jwt);
            return true;
        } catch (JwtException | IllegalArgumentException e) {
            return false;
        }
    }
}

JwtUtils类中,我们定义了生成JWT、从JWT中获取用户名和验证JWT的方法。

通过URL控制权限

自定义注解

创建一个RequiresPermissions注解,用于标注需要进行权限验证的方法:

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {

    String[] value();
}

编写权限验证切面

创建一个PermissionAspect类,用于实现权限验证的切面:

@Aspect
@Component
public class PermissionAspect {

    @Autowired
    private HttpServletRequest request;

    @Around("@annotation(requiresPermissions)")
    public Object checkPermissions(ProceedingJoinPoint joinPoint, RequiresPermissions requiresPermissions) throws Throwable {
        // 获取请求的URL和用户信息
        String url = request.getRequestURI();
        String username = JwtUtils.getUsernameFromJWT(getJWTFromRequest());

        // 校验用户是否具有访问权限
        boolean hasPermission = checkUserPermissions(username, url, requiresPermissions.value());

        if (hasPermission) {
            // 允许访问
            return joinPoint.proceed();
        } else {
            throw new AuthorizationException("Access denied");
        }
    }

    private String getJWTFromRequest() {
        // 从请求头或请求参数中获取JWT
        // ...
    }

    // 校验用户是否具有访问权限
    private boolean checkUserPermissions(String username, String url, String[] permissions) {
        // ...
    }
}

PermissionAspect类中,我们使用@Around注解定义了一个环绕通知,用于在方法执行前进行权限验证。通过@annotation(requiresPermissions)指定了需要进行权限验证的方法,并获取请求的URL和用户信息。然后,我们校验用户是否具有访问权限,如果有权限则允许访问,否则抛出异常。

使用注解进行权限控制

在需要进行权限控制的方法上使用@RequiresPermissions注解:

@RestController
public class UserController {

    @GetMapping("/users")
    @RequiresPermissions("user:list")
    public List<User> getUsers() {
        // 获取用户列表
        // ...
    }

    @PostMapping("/users")
    @RequiresPermissions("user:create")
    public User createUser(@RequestBody User user) {
        // 创建用户
        // ...
    }

    @DeleteMapping("/users/{id}")
    @RequiresPermissions("user:delete")
    public void deleteUser(@PathVariable Long id) {
        // 删除用户
        // ...
    }
}

在上述示例中,我们使用@RequiresPermissions注解对getUsers()createUser()deleteUser()方法进行了权限控制。只有具有相应权限的用户才能访问这些方法。

总结

本文介绍了如何使用Shiro整合JWT,并通过URL控制权限。我们通过配置Shiro和编写自定义Realm实现用户的认证和授权,使用JWT生成和验证身份信息,通过自定义注解和切面实现基于注解的权限控制。这样,我们可以轻松地在Spring Boot应用中实现灵活且安全的权限管理。

👉 💐🌸 公众号请关注 "果酱桑", 一起学习,一起进步! 🌸💐
 

一叶飘零_sweeeet
关注
专栏目录
shiro实现jwt
cmm1的博客
10-24 2310
这里只实现jwtshiro实现前面文章有,先实现shiro在实现jwtjwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 6018
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
Springboot+Shiro 基于URL 动态控制权限
Joe_elena的博客
08-13 1万+
前言:    权限控制有 注解的方式,jsp shiro标签的方式,还有url 动态控制的方式。这里我使用最后一种方式来控制权限 思路: 0.利用  PathMatchingFilter 拦截器 1.根据用户名 来查询角色, 2.根据角色查询权限 3.获取请求的url  4判断 根据用户名查询的权限 是否包括 请求的url 5.如果包括 则 放行,不包括重定向到 未授权界面 p...
JWTshiro结合实现认证
最新发布
weixin_42564451的博客
09-04 649
JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的最大特点是它是自包含的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能。
shiro教程(1):基于url权限管理
weixin_34116110的博客
04-10 169
一、 权限管理1.1 什么是权限管理基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。1.2 用户身份认证1.2.1 概念身份认证,就...
shiro教程(1)-基于url权限管理
好好学java
03-30 710
一、 权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证 1...
Shiro学习笔记——(2)前奏-基于url权限管理
星_陨的博客
03-30 857
*注:此章节可跳过基于url权限管理流程        基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter进行过虑,过虑器获取到用户访问的url,只要访问的url是用户分配角色中的url则放行继续访问。         如下图:一、搭建环境(1)数据库用户表CREATE TABLE `sy...
SpringBoot集成ShiroJwt和Redis
10-24
Shiro通过配置拦截器,可以对URL进行访问控制,实现权限的动态分配。 **Jwt** 是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和...
SpingBoot整合ShiroJWT
weixin_46648650的博客
03-14 5954
SpingBoot整合ShiroJWT 项目地址:https://github.com/seam95/SpringBoot-Shiro-Jwt.git Shiro学习知识点 Authentication:身份认 证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Management:会话管
jwt结合shiro实现认证和权限控制,非常详细
热门推荐
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7258
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
对应本博客:shiro、基于url权限管理章节的源代码
10-14
权限管理原理知识,权限管理解决方案,基于url权限管理、shiro介绍、shiro认证
url操作权限
08-09
NULL 博文链接:https://yin-bp.iteye.com/blog/2028025
shiro学习笔记2——基于url权限管理
xinpz的博客
08-01 314
5 基于url权限管理  5.1 基于url权限管理流程       5.2 搭建环境  5.2.1数据库 mysql5.1数据库中创建表:用户表、角色表、权限表(实质上是权限和资源的结合 )、用户角色表、角色权限表。   完成权限管理的数据模型创建。   ​​​​​​​5.2.2 开发环境 jdk1.7.0_72 eclipse 3.7 indigo 技...
通过shiro进行按钮及页面访问url权限控制
m0_67392931的博客
08-31 1422
super();}/*** 验证登陆*/@Override//根据登录名获取用户信息= null) {} else {}}/*** 登陆成功之后,进行角色和权限验证*/@Override// 列举此用户所有的权限}}/*** 清除所有用户授权信息缓存.*/}/*** 清除所有用户授权信息缓存.*/= null) {}}}/**** @Description: TODO 清楚缓存的授权信息。...
shiroJWT
m0_54853420的博客
04-07 1166
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
ssm订单管理系统4-角色管理操作和资源权限操作
享受旅行中的VIP快乐
09-09 307
java通关整理汇总-Java基础、计算机网络、数据库、设计模式、框架、算法模板、笔试 ssm订单管理系统1-数据库表结构和mysql语句 ssm订单管理系统2-订单详情操作 ssm订单管理系统3-用户管理操作 ssm订单管理系统4-角色管理操作和资源权限操作 4 角色管理和资源权限管理 对应角色表和资源权限表 4.1 角色管理 4.1.1 查询所有角色 4.1.1.1 RoleController RoleController 1、mv.setViewName("role-list")表示要跳
Shiro整合JWT
m0_67391270的博客
03-28 1465
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
Spring MVC与Shiro整合实现权限控制教程
"Spring MVC整合Shiro权限控制的方法" 在现代Web开发中,权限控制是确保应用安全性的重要组成部分。Spring MVC作为流行的MVC框架,经常需要与安全框架集成以实现精细的权限管理。Apache Shiro是一个优秀的安全框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值