Shiro+Jwt总结

最新推荐文章于 2024-08-30 09:02:29 发布
最新推荐文章于 2024-08-30 09:02:29 发布
阅读量8.8k 收藏 59
点赞数 25
分类专栏: shiro jwt 文章标签: java spring spring boot 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51433562/article/details/123597234
版权
shiro 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
jwt
1 篇文章 0 订阅
订阅专栏

shiro是什么

用于进行加密,认证授权的java安全框架
核心对象:
Subject:用户对象,封装信息
SecurityManager:管理所有用户
Realm:连接数据,进行用户认证和授权

Jwt是什么

JWT全称JSON Web Token,是javaweb官方提供的一种封装用户数据,保证权限访问的字符串。
详情见:https://blog.csdn.net/m0_51433562/article/details/119609637?spm=1001.2014.3001.5502

原理讲解

知道了Shiro和Jwt是什么玩意儿之后,那么接下来我们要探究如何使用Shiro和Jwt完成用户认证和授权的呢?

认证(Authentication)和授权(Authorization)

首先我们先弄懂认证和授权到底有什么区别,平常我们都是将认证授权两个词语连在一起进行讨论,实际上认证授权是两个完全不同的概念。

举个很简单的例子,我们去网吧上网的时候,网管首先会让你出示你的身份证件,核实你的身份。确定你是成年人之后,网管会激活你的号码或者会员,这样你就可以在网吧内入座了。

在上述的例子中,网管核实你是否为成年人就是一个认证的过程。认证通过之后,网管激活号码,你获得在网吧内就做的权利,这就是一个授权的过程。相信通过这个案例,大家对于认证和授权应该有了理解。

Shiro的认证和授权

那么在shiro安全框架中又是怎样实现认证和授权的呢?
在javaWeb开发中,我们会遇到这样的场景,某些页面或者接口是只有特定的用户可以进行访问和调用的,比如VIP视频只允许VIP用户观看,后台管理接口只允许管理员登录。此时shiro就能很好的帮助我们完成这个需求。

原理图
分析上图:

  1. 客户端发送携带JwtToken的请求到后端,会根据Sercurity Manager配置的拦截器进行判断,进入不同的Filter过滤器中(以JwtFilter为例)。
  2. Filter过滤器会对请求进行拦截,获取请求携带的Token。在过滤器中创建subject对象,这相当与一个用户对象,利用subject对象并携带从客户端获取的token,调用Sercurity Manager,将subject对象统一交给Sercurity Manager去处理。(注:原生shiro中subject对象会对传递来的username和password进行封装形成token,因为我们采用的是jwt,传来的就是token,所以不必封装)
  3. subject对象进入Sercurity Manager后,会将携带的Token交给JwtRealm的认证授权程序进行处理,认证通过后,放可执行controller中的请求,否则会抛出异常。

代码编写

了解了shiro和JWT是如何共同实现认证和授权之后,就可以很轻松的完成代码的编写。先介绍我们要用到的类

  • ShiroCofig:Shiro的配置类,用于配置subject,securityManager和realm。
  • JwtRealm:自定义的Realm对象,用于连接数据,进行认证和授权。
  • JwtToken:自定义的token类,用以代替shiro原生的UsernamePasswordToken
  • JwtDefaultSubjectFactory(可选):自定义的subjectFactory,继承于DefaultSubjectFactory,用于生产subject对象。
  • JwtFilter:需要进行jwt认证的API接口经过的过滤器。
  • CommonFilter:不需要进行jwt认证的API接口经过的过滤器。
  • JwtUtils:JWT的工具类,用于decode,encode和识别token(具体代码在前面提到的博客中有)

ShiroConfig

ShiroConfig用于进行Shiro的相关配置,主要包括ShiroFilterFactoryBean、DefaultWebSecurityManager和Realm的配置。

  • ShiroFilterFactoryBean:用来生产subject,配置过滤器和拦截路由。
  • DefaultWebSecurityManager:获得SecurityManager,对subject进行统一管理。还可以进行Session Dao和Session Manager等的配置(相关配置,本文章省略)
  • Realm:放回自定义的Realm对象
@Configuration
public class ShiroConfig {
    //三大核心对象:Subject、SecurityManager、Realm

    //告诉shiro不创建内置的session
    @Bean
    public SubjectFactory subjectFactory(){
        return new JwtDefaultSubjectFactory();
    }

    //3、ShiroFilterFactoryBean->Subject subject是用户主题,进入到securitymanager中
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //关联securityManager
        bean.setSecurityManager(getDefaultWebSecurityManager());
        //添加内置过滤器
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("anon",new CommonFilter());
        filterMap.put("jwt",new JwtFilter());
        bean.setFilters(filterMap);
        //添加拦截器,对路由进行限制
        Map<String, String> filterRuleMap = new LinkedHashMap<>();
        /*
            anon:无需认证可以直接访问
            auth:必须认证才能访问
            user:必须拥有 记住我功能才能用
            perms:拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
         */
        filterRuleMap.put("/treasure/user/login","anon");
        filterRuleMap.put("/treasure/user/getUserInfoByEmail/**","jwt");
        bean.setFilterChainDefinitionMap(filterRuleMap);
        return bean;
    }

    //2、DefaultWebSecurityManager->SecurityManager 管理所有用户,利用realm完成数据连接
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(realm());
        return securityManager;
    }

    //1、Realm->Realm 需要自定义一个Realm用于存储数据,这里使用jwtRealm
    @Bean
    public Realm realm() {
        return new JwtRealm();
    }
}

JwtRealm

自定义的Realm对象,该对象继承于AuthorizingRealm,实现了Shiro具体认证和授权的方法。doGetAuthenticationInfo用于授权,doGetAuthorizationInfo用于认证。
另外,重写了supports方法,表示该Realm只用于识别JwtToken
JwtRealm最终会配置为ShiroConfig中Realm的返回对象,并于SecurityManager进行关联。

@Component
public class JwtRealm extends AuthorizingRealm {

    @Autowired
    private JwtUtils jwtUtils;

    /*
     * 多重写一个support
     * 标识这个Realm是专门用来验证JwtToken
     * 不负责验证其他的token(UsernamePasswordToken)
     * */
    @Override
    public boolean supports(AuthenticationToken token) {
        //这个token就是从过滤器中传入的jwtToken
        return token instanceof JwtToken;
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String jwt = (String) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRole("user");
        return authorizationInfo;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String jwt = (String) authenticationToken.getPrincipal();
        if(!jwtUtils.isVerify(jwt)){
            throw new IncorrectCredentialsException("Authorization token is invalid");
        }
        return new SimpleAuthenticationInfo(jwt,jwt,"JwtRealm");
    }
}

JwtToken

JwtToken是定义的一个Token类,继承了AuthenticationToken类,实现getPrincipal和getCredentials方法,(这两个方法本来是用于获取token中的信息,和识别token的,但JwtUtils已经为我们提供了这样的方法,所以这两个方法对于jwtToken没有意义)。用于将客户端传来的token进行封装,便于Realm识别token类型,进行认证和授权。

/*
    JwtToken代替原生的UsernamePasswordToken
 */
public class JwtToken implements AuthenticationToken {

    private String jwt;

    public JwtToken(String jwt) {
        this.jwt = jwt;
    }

    //返回原来的字符串,解析交给JwtUtils实现
    @Override
    public Object getPrincipal() {
        return jwt;
    }

    //返回原来的字符串,解析交给JwtUtils实现
    @Override
    public Object getCredentials() {
        return jwt;
    }
}

JwtDefaultSubjectFactory

继承于DefaultSubjectFactory类,重写了生产工厂,关闭Shiro的session存储

public class JwtDefaultSubjectFactory extends DefaultSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建shiro内部的session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

JwtFilter

JwtFilter定义为需要进行jwt认证的API结果经过的过滤器,在这个过滤器中,取出API请求中包含的JWT字符串,封装为jwtToken对象,同时创建一个subject,调用login方法进行认证和授权。JwtFilter继承于AccessControlFilter类,实现isAccessAllowed和onAccessDenied方法。

//需要认证的url经过该过滤器
public class JwtFilter extends AccessControlFilter {

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpResponse.setHeader("Access-Control-Allow-Origin", httpRequest.getHeader("Origin"));
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Content-Type","application/json;charset=UTF-8");
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
            httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
            return true;
        }
        return super.preHandle(request, response);
    }

    /*
     * 1. 返回true,shiro就直接允许访问url
     * 2. 返回false,shiro才会根据onAccessDenied的方法的返回值决定是否允许访问url
     * */
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        String jwt = ((HttpServletRequest) servletRequest).getHeader("Authorization");
        if(jwt != null){
            JwtToken jwtToken = new JwtToken(jwt);
            //这里getSubject方法实际上就是获得一个subject
            //与原生shiro不同的地方在于没有对username和password进行封装
            //直接使用jwt进行认真,login方法实际上就是交给Realm进行认证
            try{
                getSubject(servletRequest,servletResponse).login(jwtToken);
            }catch (Exception e){
                e.printStackTrace();
                return false;
            }
            return true;
        }
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;
        //直接设置401 未认证
        httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        return false;
    }
}

CommonFilter

CommonFilter是不需要进行认证的API接口经过的过滤器,只需要进行跨域处理

// 不需要进行认证的url经过该过滤器
public class CommonFilter extends AnonymousFilter {

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpResponse.setHeader("Access-Control-Allow-Origin", httpRequest.getHeader("Origin"));
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Content-Type","application/json;charset=UTF-8");
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
            httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
            return true;
        }
        return super.preHandle(request, response);
    }
}

写了这么多类,大家可能有点懵,实际上仔细看看代码里面的注释还是很容易理解的。为了更清晰的描述之间的关系,见下图。

shiro调用图

_多拉不懂A梦
关注
专栏目录
shiro实现jwt
cmm1的博客
10-24 2313
这里只实现jwtshiro实现前面文章有,先实现shiro在实现jwtjwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
Shiro+JWT
qq_32699009的博客
09-13 2292
apache旗下的一个开源框架,实现用户身份认证,权限授权,加密,会话管理等功能 内容均转载自ShiroJWT MD5加密 概述 MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 也就是0123456789ABCDEF构成的混合数字码 特点 不可逆:相同数据的MD5值肯定一样,不同数据的MD5值不一样。 压缩性:任意长度的数据,算出的MD5值长度都是固定的 弱抗碰撞:已知原数据和MD5值,想找到一个具有相同MD5值是非常
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 1327
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用了 Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
推荐项目:Shiro-JWT —— 简化你的认证授权之路
gitblog_00754的博客
08-30 421
推荐项目:Shiro-JWT —— 简化你的认证授权之路 shiro-jwt项目地址:https://gitcode.com/gh_mirrors/sh/shiro-jwt 随着微服务和分布式系统的兴起,安全而高效的认证机制成为了开发者关注的焦点。Apache Shiro作为Java界广泛使用的权限管理框架,结合JSON Web Tokens(JWT)的轻量级特性,诞生了一个强大的组合——shi...
Shiro框架和JWT
市民景先生
07-11 2901
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
基于SpringBoot+Vue+Shiro+JWT+Redis+Mybatis-Plus的Java人事管理系统设计源码
最新发布
10-04
本项目是一款集成SpringBoot、Vue、ShiroJWT、Redis及Mybatis-Plus框架的人事管理系统源码,共计300个文件,涵盖100个类文件、99个Java源文件、39个PNG图片、20个Vue组件、14个JavaScript文件、12个XML配置文件、3...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证和权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户和权限数据,而Redis利用Jedis实现JWT的安全存储和快速访问。这样的设计既...
shiroJWT
m0_54853420的博客
04-07 1168
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 9208
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Shiro + JWT权限验证
qq_53021270的博客
11-12 2181
1、什么是Shiro ShiroJava领域非常知名的认证( Authentication )与授权 ( Authorization )框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什 么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security
Shiro整合JWT
m0_67391270的博客
03-28 1466
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
ShiroJWT技术简介
無業䢟民的博客
01-18 2479
一、Shiro简介 ShiroJava领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证?
Shirojwt
MRzhenglea的博客
10-25 280
Shiro Subject currentUser=SecurityUtils.getSubject() Session session=currentUser.getSession() currentUser.isAuthenticated() currentUser.getPrincipal() currentUser.hasRole("schwartz") currentUser.ispermitted("lightsaber:wield") currentUser.logout();注销 三大组件
Shiro实战系列--整合jwt
IT利刃出鞘的博客
10-17 8524
原文网址: 其他网址 Shiro实例系列 Shiro--实例--SpringBoot_IT利刃出鞘的博客-CSDN博客Shiro--实例--SpringBoot--shiro-redis_IT利刃出鞘的博客-CSDN博客Shiro--实例--SpringBoot--jwt_IT利刃出鞘的博客-CSDN博客(本文) 参考网址 shiro+jwt+springboot整合_q89757316的博客-CSDN博客超详细!4小时开发一个SpringBoot+vue前后端分离博客项目!!SpringB
介绍一下 Jwt+Shiro
03-12
Jwt Shiro 是一种基于 Java 的安全框架,它结合了 JSON Web Token(JWT)和 Apache Shiro,提供了一种简单、安全、可靠的身份验证和授权解决方案。JWT 是一种轻量级的身份验证和授权机制,它使用 JSON 格式传递信息,可以在不同的系统之间安全地传递用户身份信息。而 Apache Shiro 是一个强大的安全框架,它提供了身份验证、授权、加密、会话管理等功能,可以帮助开发者快速构建安全可靠的应用程序。Jwt Shiro 将这两个框架结合起来,提供了一种简单易用的身份验证和授权解决方案,可以帮助开发者快速构建安全可靠的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值