Shiro+JWT+Redis实现用户校验

最新推荐文章于 2024-05-27 13:56:04 发布
最新推荐文章于 2024-05-27 13:56:04 发布
阅读量474 收藏 1
点赞数
分类专栏: springboot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60561133/article/details/119982800
版权

Shiro基础知识

1. shiro基本功能

认证:验证用户登录认证;
授权:即权限验证,对已经登录的用户验证是否有相应的权限;
会话管理:用户在认证成功之后创建会话,当前用户的所有信息都会保存在这个会话中;
密码管理:加密管理,对敏感信息进行加密处理;
2. shiro核心组件
subject:表示当前用户角色及权限信息
Security Manager:安全管理器,实现对内部实例的管理,并通过他来提供安全管理的各种服务
Realm:相当于shiro进行认证和授权的数据源,
Authenticator:认证器,加载realm实现认证
Authorizer:授权器
SessionManager:会话管理器
CacheManager:缓存管理器
在这里插入图片描述
3. shiro认证和授权流程
在这里插入图片描述

  1. 首先将用户账号信息封装成token、
  2. 通过Subject.login(token)进行登录,就会将token包含的用户信息(账号密码)传递给SecurityManager
  3. SecurityManager就会调用Authenticator认证器进行身份认证
  4. Authenticator把token传递给Realm,
  5. Realm就会根据得到的token,调用doGetAuthentocation方法进行认证校验,如果认证失败则抛出异常

JWT基础知识

Token令牌

  1. 为什么使用Token作为用户登录的令牌而不用Session呢?
    在前后端一体的项目中,一般使用Session来保存用户信息,当用户要访问某些受限资源时,需要先从Session中获取用户信息,从而判断用户是否已经登录。
    但是由于在前后端分离的项目中,用户的每次请求都是创建不同的Session,且之前的Session会被回收,因此无法根据Session来判断用户是否登录
    而Token可以解决上述问题,在用户登录时,根据特定的规则生成Token令牌,并将其返回给前端,在前端将Token保存在Cookie中,
    JWT作用-------生成Token,并解析Token

Shiro+JWT+Redis

创建ShiroConfig ,在其中配置Realm ,SecurityManager来拦截所有的请求,所有的请求都需要经过JWTFileter
因为shiro-redis已经集成了Redis,所以不需要考虑Redis的相关处理

package com.tmy.vueblog.config;


import com.tmy.vueblog.shiro.AccountRealm;
import com.tmy.vueblog.shiro.JwtFiler;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {


    @Autowired
    JwtFiler jwtFiler;



    @Bean
    public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

        // inject redisSessionDAO
        sessionManager.setSessionDAO(redisSessionDAO);
        return sessionManager;
    }

    @Bean
    public DefaultWebSecurityManager securityManager(AccountRealm accountRealm,
                                                     SessionManager sessionManager,
                                                     RedisCacheManager red
最低0.47元/天 解锁文章
m0_60561133
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt+shiro+redis实现token的自动刷新和token的可控性
zhuzi的博客
08-17 6480
文章目录一、为何要使用jwt+shiro+redis二、AccessToken和RefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessToken及RefreshToken概念说明2-3. 关于Redis中保存RefreshToken信息(做到JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证和权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户和权限数据,而Redis利用Jedis实现JWT的安全存储和快速访问。这样的设计既...
前后端分离权限设计方案:shiro+redis+jwt
热门推荐
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
shiro整合jwt+redis
零度的博客
09-17 2925
前两篇文章我们整合了shiro+jwt无状态权限验证,这样只把tocken存储在前端,后端只验证Tocken是否合法。 考虑一个问题就是我们在设置了token过期时间之后会使前端用户退出在APP端的话很不友好,而且也不是很安全。 两种业务模式仅供参考: 1.BS架构时 我需要前端在国半小时自动退出,那么我们可以直接使用tocken过期自动退出。 2.在app端我不想让...
Shiro+Jwt+Redis
最新发布
qq_43907296的博客
05-27 683
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
JWT+shiro+redis整合
yc_Cabbage的博客
08-15 1642
JWT+shiro+redis整合
shiro+springboot+jwt+redis
weixin_43275578的博客
11-10 922
shiro整合
SpringBoot集成ShiroJwtRedis
10-24
通过以上步骤,我们可以构建一个完整的RBAC系统,其中Shiro处理权限控制,Jwt实现无状态认证,Redis提供高效的会话管理,而MyBatisPlus则简化了数据库操作。这样的系统不仅安全可靠,而且具有良好的扩展性和可维护性...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-03
3. **请求校验**:客户端在每个API请求中附带JWT令牌,服务器通过Redis验证令牌的合法性,若令牌有效,则继续处理请求,否则返回错误信息。 4. **权限控制**:Shiro根据JWT令牌中的信息进行权限检查,控制用户对...
基于SpringBoot+Shiro+Redis+Jwt+Thymeleaf+MyBatis 开发的后台用户、角色、.zip
02-03
标题中的“基于SpringBoot+Shiro+Redis+Jwt+Thymeleaf+MyBatis 开发的后台用户、角色”表明这是一个使用特定技术栈构建的后台管理系统,涉及到的主要技术包括: 1. **SpringBoot**: SpringBoot是Spring框架的一个...
springboot整和jwtshiroredis实现token自动刷新
08-19
springboot整和jwtshiroredis实现token自动刷新
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : 疑问查看 项目相关 JavaDoc: : 关联文档: : 教程目录: : 可转换数据库形式(MySQL): : 解决无法直接返回401错误: ://note.dolyw.com/shirojwt/ShiroJwt03-401.html 实现Shiro的Cache(Redis)功能: : 项目介绍 RESTful API Maven集成Mybatis Generator(逆向工程) Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码加密(采用AES-128 + Base6
SpringBoot+shiro+redis+jwt .zip
01-03
当我们开发需要简单的鉴权功能时,springboot更快捷、简单的集成JWT,使得项目更加简洁(Compact)、自包含(Self-contained)、安全(security);鉴权的流程为下。
分布式权限 shiro + jwt + redis(第三期)
qq_21561833的博客
10-30 1401
但是自己这个项目最开始使用的shiro,而且权限对应的角色,菜单都已经写好了,所以主体采用的shiro。使用jwt 标识每个用户的身份。使用redis 存储每个用户的权限。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。在这个realm里面有认证和授权的逻辑。然后可以从jwt字符串中解析出用户的id。生成token,将用户id和锁拥有的权限存储进入redis
springboot整合shiro+jwt+redis实现权限校验,项目实战,有开源项目
Think_and_work的博客
02-13 3245
本文介绍了springboot整合shiro实现基本权限管理功能,是一个权限管理的实战项目,又开源项目地址,希望能够帮助到你
SpringBoot 基于Shiro + Jwt + Redis用户权限管理 (二) 认证
bai_ye_的博客
07-05 822
项目Github地址:https://github.com/baiye21/ShiroDemo SpringBoot 基于Shiro + Jwt + Redis用户权限管理 (一) 简介与配置 SpringBoot 基于Shiro + Jwt + Redis用户权限管理 (二) 认证 SpringBoot 基于Shiro + Jwt + Redis用户权限管理 (三) 鉴权 SpringBoot 基于Shiro + Jwt + Redis用户权限管理 (四) ..
整合shiro+jwt+redis实现会话共享
weixin_51304175的博客
04-05 2251
第一步:导入shiro-redis的starter包以及jwt的工具包 官方文档:https://github.com/alexxiyang/shiro-redis/blob/master/docs/README.md#spring-boot-starter <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter<.
shiro-redis-jwt整合
qq_37105269的博客
11-08 119
这里我们继承的是Shiro内置的AuthenticatingFilter,一个可以内置了可以自动登录方法的的过滤器,有些同学继承BasicHttpAuthenticationFilter也是可以的。我们需要重写几个方法:createToken:实现登录,我们需要生成我们自定义支持的JwtTokenonAccessDenied:拦截校验,当头部没有Authorization时候,我们直接通过,不需要自动登录;
shiro+jwt+redis
05-19
结合ShiroJWTRedis可以实现以下功能: 1. 用户身份验证:使用JWT生成令牌,对于每个请求,后端可以使用Shiro来验证令牌,并从Redis中获取用户数据。 2. 用户权限控制:使用Shiro的授权功能,可以根据用户的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值