Shiro实战详解(4)--JWT生成token以及解析token

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量1.1k 收藏 21
点赞数 25
分类专栏: shiro 文章标签: shiro java JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ji_xin0721/article/details/135748173
版权

JWT生成token以及解析token

06 Springboot+Shiro+Jwt前后端分离鉴权

1、前后端分离会话问题

【1】问题追踪

前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说

用户禁用cookie后,我们的系统会就会产生会话不同的问题

【2】解决方案

我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,

这里我们提供了基于JWT的token生成方案

2、JWT概述

​ JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个

紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传

输数据的一项标准。实际上传输的就是一个字符串。

实现步骤:

1.创建RedisSessionDao extends AbstractSessionDAO

2.配置ShiroConfig首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生

成token的机制,需要我们自己编写相关的生成逻辑。

​ 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存

session,而是生成token发送给客户端进行保存,之后的所有的请求都需要携带token,再对token进

行解析判断)。

​ 虽然Shiro也有相关的token(比如UsernamePasswordToken类),但是只是Shiro在服务端对用

户信息进行判断的方式而已,并不是JWT所生成的可发送给客户端的字符串token。也就是说Shiro的

token并不能响应给客户端。

  • 广义上:JWT是一个标准的名称;
  • 狭义上:JWT指的就是用来传递的那个token字符串

JWT由三部分构成:header(头部)、payload(载荷)和signature(签名)。

1.Header

存储两个变量

  • 秘钥(可以用来比对)
  • 算法(也就是下面将Header和payload加密成Signature)
2.payload

存储很多东西,基础信息有如下几个

  • 签发人,也就是这个“令牌”归属于哪个用户。一般是 userId
  • 创建时间,也就是这个令牌是什么时候创建的
  • 失效时间,也就是这个令牌什么时候失效(session的失效时间)
  • 唯一标识,一般可以使用算法生成一个唯一标识(jti==>sessionId)
3.Signature

这个是上面两个经过Header中的算法加密生成的,用于比对信息,防止篡改Header和payload

然后将这三个部分的信息经过加密生成一个 JwtToken 的字符串,发送给客户端,客户端保存在本地。

​ 当客户端发起请求的时候携带这个到服务端(可以是在 cookie ,可以是在 header ),在服务端进行

验证,我们需要解密对于的payload的内容

JWT生成Token及解析

1.pom文件导入依赖

<!--引入JWT依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.4.0</version>
</dependency>

2.设置JWT工具类

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.*;

/**
 * @author jx
 * @version 1.0
 * @since 2024/1/22
 **/
public class JWTUtil {
    //盐
    private static final String SIGN = "java";

    private static final String JWT_KEY_PHONE = "phone";
    private static final String JWT_KEY_IDCARD = "idCard";
    
    //生成token
    public static String createToken(String phone,String idCard){
        Map<String,String> map = new HashMap<>();
        map.put(JWT_KEY_PHONE,phone);
        map.put(JWT_KEY_IDCARD,idCard);
        //token过期时间
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE,1);
        Date date = calendar.getTime();

        JWTCreator.Builder builder = JWT.create();
        //整合map
        map.forEach((k,v) -> {
            builder.withClaim(k,v);
        });
        //整合过期时间
        builder.withExpiresAt(date);
        //生成token
        String token = builder.sign(Algorithm.HMAC256(SIGN));
        return token;
    }


    //解析token
    public static Map<String, String> parseToken(String token){
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
        String phone = verify.getClaim(JWT_KEY_PHONE).toString();
        String identity = verify.getClaim(JWT_KEY_IDCARD).toString();
        Map<String, String> map = new HashMap<>();
        map.put("phone",phone);
        map.put("idCard",identity);
        return map;
    }

    public static void main(String[] args) {

        String token = createToken("15101230564","123456789");
        System.out.println("生成的token:"+token);
        Map<String, String> mapResult = parseToken(token);
        System.out.println("phone:"+mapResult.get("phone"));
        System.out.println("idCard:"+mapResult.get("idCard"));
    }


}

3.结果

生成的token:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwaG9uZSI6IjE1MTAxMjMwNTY0IiwiaWRDYXJkIjoiMTIzNDU2Nzg5IiwiZXhwIjoxNzA1OTkyNTI5fQ.CjJ5HuAv-sLCNjmIEWbwRuxff4VX7cRIL25A07hwwO4
phone:"15101230564"
idCard:"123456789"
codeMonkey-吉
关注
  • 25
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro实现jwt
cmm1的博客
10-24 2285
这里只实现jwtshiro实现前面文章有,先实现shiro在实现jwtjwt JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
SpringBoot实现token验证,JWTshiro的使用
代码解释生活
05-21 1986
vue的代码,设置请求头携带toke传递给后台; //设置请求拦截器,把token传递到后台 axios.interceptors.request.use(function(config){ // console.log(config.url) //打开进度条 // NProgress.start() config.headers.Authorization=window.sessionStorage.getItem('token'); return config; },function(.
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1075
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiro - 使用 token
bhegi_seg的博客
03-28 1259
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
shiroJWT
m0_54853420的博客
04-07 1149
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5031
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
springboot shiro 实现token
m0_67393686的博客
04-25 926
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、ShiroJWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
JWT以及Token 项目的流程 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 访问login接口,并将code给后台 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header 有则自动执行...
boot-example-shiro-separate-auth0-jwt-2.0.5
07-17
记录一下使用SpringBoot集成Shiro框架和Jwt框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro+Jwt(auth0),前端使用vue+elementUI框架,前后端的交互使用的是jwttokenshiro的会话关闭,后端只需要...
sping-boot-shiro-jwt-redis.zip
07-22
《Spring Boot整合ShiroJWT与Redis实现Token自动刷新详解》 在现代Web开发中,安全性和用户体验是两个至关重要的方面。Spring Boot以其强大的功能和便捷的开发体验,已经成为Java后端开发的首选框架。而Shiro和...
Shiro自定义Token
drhrht的博客
08-24 1373
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
Shiro+token+JWT
weixin_43913889的博客
05-10 2463
先讲一下大概步骤 JWT工具类,这个在网上找的。用于生成解析token 自定义realm,继承AuthorizingRealm,重写认证和授权两个方法 自定义filter,继承BasicHttpAuthenticationFilter 我们使用JWT,所以直接把session禁用。 重点,Redis中保存JWTToken信息(做到JWT的可控性) 用户登录后,返回jwtTokentoken中保存了过期时间,比如5分钟)给用户,同时把token保存到redis中(设置一个自动删除时间,比如30分钟),
jwttoken生成解析
花自飘零水自流
07-18 1363
【代码】jwttoken生成解析
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 4174
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证、Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
Shiro整合JWT
m0_67391270的博客
03-28 1441
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
shiroshiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 2986
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token的刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
Shiro整合JWT实现无状态鉴权机制(Token)
热门推荐
baidu_33969289的博客
01-23 1万+
先讲一下大概步骤 JWT工具类,这个在网上找的。 自定义realm,继承AuthorizingRealm,重写认证和授权两个方法 自定义filter,继承BasicHttpAuthenticationFilter 我们使用JWT,所以直接把session禁用。 重点,Redis中保存JWTToken信息(做到JWT的可控性) 用户登录后,返回jwtTokentoken中保存了过期时间,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值