SSM+JWT+Shiro

最新推荐文章于 2024-03-20 20:24:00 发布
最新推荐文章于 2024-03-20 20:24:00 发布
阅读量166 收藏
点赞数
文章标签: java Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/louhih/article/details/129008126
版权

用户登录后生成token返回前端。前端每次请求时都在Header中添加token,后端验证token

一、禁用shiro的session


public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
    @Override
    public Subject createSubject(SubjectContext context) {
        context.setSessionCreationEnabled(false);//关闭session创建
        return super.createSubject(context);
    }
}

二、重写filter过滤器

@Slf4j
public class AuthenFilter extends BasicHttpAuthenticationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        boolean flag = false;
        HttpServletRequest servletRequest = WebUtils.toHttp(request);
        String token = servletRequest.getHeader("token");
        if (token != null) {
            Claims claims = null;
            try {
                claims = JwtUtil.parsetJwt(token);
                this.getSubject(request, response).login(new JwtToken(token));
            } catch (Exception throwable) {
                String msg = null;
                if (throwable instanceof SignatureException) {
                    // 该异常为JWT的AccessToken认证失败(Token或者密钥不正确)
                    msg = "Token或者密钥不正确(" + throwable.getMessage() + ")";
                } else if (throwable instanceof ExpiredJwtException) {
                    msg = "Token已过期(" + throwable.getMessage() + ")";
                } else {
                    msg = throwable.getMessage();
                }
                // Token认证失败直接返回Response信息
                this.response401(response, msg);
            }
            if (claims != null && claims.getExpiration().getTime() > System.currentTimeMillis()) flag = true;
        }

        return flag;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse servletResponse = WebUtils.toHttp(response);

        servletResponse.getWriter().write(JsonUtil.returnJson(4001, "未认证", null));
        return false;
    }

    /**
     * 无需转发,直接返回Response信息
     */
    private void response401(ServletResponse response, String msg) {
        HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
        httpServletResponse.setStatus(HttpStatus.OK.value());
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json; charset=utf-8");
        try (PrintWriter out = httpServletResponse.getWriter()) {
            String data = JSON.toJSONString(new ResponseBean(HttpStatus.UNAUTHORIZED.value(), "无权访问(Unauthorized):" + msg, null));
            out.append(data);
        } catch (IOException e) {
            throw new CustomException("直接返回Response信息出现IOException异常:" + e.getMessage());
        }
    }

}

当isAccessAllowed返回为true时,直接允许访问,返回false时,shiro根据onAccessDenied的返回值决定是否允许访问

三、重写Realm类,防止用户登录后修改地址访问无权限接口

@Component
public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    @Lazy
    private IBdOrganizeEmployeeService iBdOrganizeEmployeeService;
    @Autowired
    private IBdSecuritySourcesService iBdSecuritySourcesService;


    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    private int i = 0;
    /**
     * 重写shiro权限验证,判断已分配给用户的菜单编码(现在放在ul中)和要请求的 @RequiresPermissions能否对应上,对应不上就是无权限
     * @param principalCollection
     * @return org.apache.shiro.authz.AuthorizationInfo
     * @author yueshibing
     * @data 2023/1/30 16:51
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        LoggerFactory.getLogger(MyShiroRealm.class).debug(String.valueOf(i));
        Object principal = principalCollection.getPrimaryPrincipal();
        //String userName = JwtUtil.parsetJwt(principal.toString()).get("userName").toString();
        String userId = JwtUtil.parsetJwt(principal.toString()).get("userId").toString();
        //获取菜单url
        List<BdSecuritySources> bdSecuritySourcesList = iBdSecuritySourcesService.getBdSecuritySourcesByUserID(userId);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        bdSecuritySourcesList.forEach(p -> {
            info.addStringPermission(p.getUl());
        });
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        JwtToken token = (JwtToken) authenticationToken;
        Object credentials = token.getCredentials();
        Claims claims = JwtUtil.parsetJwt(credentials.toString());
        Object userName = claims.get("userName");
        QueryWrapper<BdOrganizeEmployee> wrapper = new QueryWrapper<>();
        wrapper.select("USER_NAME");
        wrapper.eq("USER_NAME", userName);
        BdOrganizeEmployee adminuser = iBdOrganizeEmployeeService.getOne(wrapper);
        Object password = "";
        if (adminuser != null) password = token.getCredentials();
        return new SimpleAuthenticationInfo(
                token.getPrincipal(),
                password,
//                ByteSource.Util.bytes(username),
                this.getName()
        );
    }
}

判断用户菜单权限,和注解@RequiresPermissions匹配,匹配成功才可以访问,该注解用于控制器或者具体的某个方法上

四、shiro配置类

@Configuration
public class ShiroConfig {

    @Bean
    @Order(Integer.MAX_VALUE)
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager());
        //配置自定义过滤器
        Map<String, Filter> filterMap = new HashMap<String, Filter>();
        filterMap.put("jwtAuthen", new AuthenFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        //配置匹配规则
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login/login", "anon");
        filterChainDefinitionMap.put("/login/getLoginCode", "anon");
//        filterChainDefinitionMap.put("/login/loginOut", "anon");
        filterChainDefinitionMap.put("/**", "jwtAuthen");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

    @Bean
    public SessionsSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        //配置自定义realm
        securityManager.setRealm(realm());
        //关闭session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator sessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        sessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(sessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        //配置无session工厂类
        securityManager.setSubjectFactory(subjectFactory());

        return securityManager;
    }

    @Bean
    public Realm realm() {
        MyShiroRealm realm = new MyShiroRealm();
        return realm;
    }

    //配置无状态session工厂类
    public StatelessDefaultSubjectFactory subjectFactory() {
        return new StatelessDefaultSubjectFactory();
    }

    /**
     *  开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启aop注解支持
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SessionsSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

木木的成长之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SSMShiro的自定义JWT实现
u011478348的博客
01-31 1097
SSMShiro的自定义JWT实现 前言 随着大部分的验证改为Token验证方式,那能否改写Shiro的验证方式,实现自己定义的角色授权和请求拦截呢? JWT实现产生和使用方式见上一篇 以下内容基于自己搭的SSM实现,不同方式搭建的可能有些不一样,提供思路用 1.配置Shiro 这里由于要实现自己的验证方式,和平时的配置有点不一样 按照惯例,导入Maven依赖 <!--shirojwt权...
JWT(JsonWebToken)+SpringMVC demo
10-12
spring mvc + jwt token 简单例子,正在搭建 希望对大家游泳
SSM整合shiroJWT
Wang8309166的博客
07-28 887
一、禁用shiro原有的session **(目的是在使用前后端分离,移动端,小程序访问时候没有session) 1.首先自定义类继承DefaultWebSubjectFactory(注:此配置只用于**springboot中有用,在SSM框架中会报错,错误信息:session create ……disabled) package com.datacraftman.PB.config; import org.apache.shiro.subject.Subject; import org.apache.s
SSM 整合 JWT
weixin_52721608的博客
11-04 250
SSM 是一个流行的 Java Web 框架,它可以简化开发过程并提高生产率,同时提供了高性能和可扩展性。在 SSM 中整合 JWT 身份验证可以确保用户在访问系统时能够安全地身份验证。JWT 是一种身份验证和授权协议,它允许用户在访问系统时使用其 JSON 密钥来验证其身份。使用 JWT,用户可以在不提供密码的情况下验证其身份,并且可以确保只有经过授权的用户才能访问敏感信息。要在 SSM 中整合 JWT,需要完成以下步骤:1、首先,需要使用一个 JWT 服务来生成和验证 JWT
SSM(Spring+Springmvc+MyBatis)+ajax+JWT,实现登录JWT(token)认证获取权限
qq_50617892的博客
05-18 581
本人最近钻研SpringMVC,都是学习感悟与个人看法,接受任何提问与建议,希望大家提出自己独特的见解,谢谢。
SSM学习记录6:编码token以登录(JJWT框架)
m1751250104的博客
04-15 179
导入依赖后再如前面学习的那样导入项目库↓。
SSM整合Jwt
最新发布
weixin_62300080的博客
03-20 474
#导入jwt依赖 创键Util 1 2 3 #4.测试
SSM+Shiro+Bootstrap实现权限整合(信息管理系统)
01-25
IMS:信息管理系统,基于SSM+Shiro+Bootstrap开发,包含用户管理、角色管理、权限管理(权限树)、系统管理等模块。其他功能:注册邮件校验、发送邮件找回密码、系统性能监控。系统截图请参照“东云网”小编博客。
基于ssm(Spring+SpringMVC+MybatisPlus)框架整合Security+JWT+xml配置(一)
龙小虬的博客
07-29 733
Security中文版文档官网:https://www.springcloud.cc/spring-security-zhcn.html#abstractsecuritywebapplicationinitializer-with-spring-mvc 今日分享: 整合Security安全框架 测试框架的可用性 项目结构 在官方网站中我们可以看到标准的官方web.xml过滤器配置 <filter> <filter-name>springSecurityFil
shiro + jwt
saienenen的博客
02-06 339
1,前言 最近在做项目,做到权限模块,感觉登录功能也没这么简单。 查阅了一些文档加博客,大致明白了如何写这个模块。所以记录一下。 2,正文 一,POM <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.
spring-token:整合JWT,spring,springMVC,实现基于token验证
05-11
spring-token 整合JWT,spring,springMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和spring,springMVC的整合,所以如果有小伙伴想整合JWT和spring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
ShiroSSM整合(内含详细文档介绍)
11-06
ShiroSSM整合(内含详细文档介绍)ShiroSSM整合(内含详细文档介绍)ShiroSSM整合(内含详细文档介绍)
SpringBoot中Shiro缓存使用Redis、Ehcache的方法
08-25
主要介绍了SpringBoot中Shiro缓存使用Redis、Ehcache的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
SMM+shiro集成jwt 生成token 实现与vue验证登录
一个抽风的女Ren的博客
01-20 1332
之前的后台由smm+shiro搭建,最近想要pc端实现前后端分离,但移动端和管理端这些公用一个,想要实现前后端分离,而且不影响管理端的操作,管理端是由session存储用户信息,之前的pc端也是,通过shiro实现登录授权认证,现在pc端实现前后分离,这样的话前后交互不安全,同时存在跨域的问题,因此,想实现pc端前后分离,不影响 管理端,所以pc端采用jwt生成token,进行每次操作的验证。 ...
【Spring boot】Shiro + JWT 搭建无状态 RESTful 架构
Knove的博客
03-31 1729
技术栈:Spring boot +Shiro +JWT 先说一下 Spring security 和 Shiro ,从这两者选择的时候最后还是选择了Shiro,原因是Spring security 偏重,适合大型企业项目,而且现在用Shiro的也不少。网上这两个的对比文章还是很多的,这里就不赘述。 Shiro默认实现的是session形式,也就是有状态的。我们要改变一些东西,来实现无状态的...
SSM+JWT实现用户身份验证
qq_38974076的博客
02-27 1779
记录SSM+JWT实现用户身份认证 1,导入Maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1<...
springmvc结合jwt的使用,实现前后端分离token验证
左小轩的博客
07-26 4612
1.首先需要导入maven依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-core</artifactId> <version>2.9.4</version> </...
SSM(Spring+SpringMVC+Mybatis)的整合
WihauShe's Blogger
06-04 130
搭建 使用IDE创建web项目 引入需要的jar包 创建需要的配置文件进行配置 测试 示例 db.properties driver=com.mysql.jdbc.Driver url=jdbc:mysql://127.0.0.1:3306/emp username=root password=root applicationContext.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.spri
ssm+layui+shiro
12-06
SSM(Spring+SpringMVC+MyBatis)是一种Java Web开发框架,被广泛使用于企业级应用的开发中。Spring提供了依赖注入和面向切面编程的特性,Spring MVC是一种轻量级的Web框架,而MyBatis则是一种持久层框架,可以方便地操作数据库。 Layui是一个简单易用、高效轻量级的前端框架,可以帮助前端开发者快速搭建Web界面。Layui提供了丰富的UI组件和灵活的样式定制功能,能够帮助开发者实现页面的快速展示和交互。 Shiro是一个强大且易于使用的Java安全框架,提供了认证、授权、会话管理和加密等安全控制功能。Shiro能够帮助开发者轻松地实现用户身份验证和访问控制,提高系统的安全性。 综合上述三者,使用SSM框架可以简化Java Web的开发流程,通过Spring提供的依赖注入和面向切面编程,我们能够更好地管理和维护项目的各个组件。使用SpringMVC可以方便地开发出符合MVC设计模式的Web应用程序,而MyBatis则提供了对数据库的便捷访问,可以避免直接编写繁琐的SQL语句。 在前端方面,Layui的轻量级特性和丰富的UI组件能够加快前端开发的速度,使页面的搭建变得简单高效。 而使用Shiro可以保护我们的应用程序,通过身份验证和访问控制,可以确定用户的身份并限制其权限,提高系统的安全性。 总的来说,SSM、Layui和Shiro三者结合使用可以提高我们开发的效率和安全性,同时也能够提供用户友好的界面体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木木的成长之路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值