shiro+jwt踩坑实录

于 2022-04-07 16:30:33 发布
阅读量420 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393295/article/details/124020062
版权

shiro+jwt踩坑实录

比较乱,没啥条理,主要是记录自己踩过的一些坑

shiroConfig

1.首先配置shiroFilter

shiroFilter配置

1.1配置securityManager

securityManager是shiro相对核心。

1.1.1 配置Authenticator

首先配置setAuthenticator,由于我们要使用password和token两种登陆方式,所以需要使用MultiRealmAuthenticator,多领域校验;
MultiRealmAuthenticator
----Authenticator配置参数setAuthenticationStrategy,主要有三个选项,
--------1.FirstSuccessfulStrategy 第一个realm通过则为校验通过。
--------2.AtLeastOneSuccessfulStrategy,任意一个realm通过则为校验通过。
--------3.AllSuccessfulStrategy,全部realm通过则为校验通过。

1.1.2 配置Realm

然后需要配置setRealm(多realm需setRealms,参数为List),
(这边是一个坑,authenticator和realm是有顺序的,必须先setAuthenticator,再setRealms,不然realm不起作用,还会抛出java.lang.IllegalStateException: Configuration error: No realms have been configured! One or more realms must be present to execute an authorization operation.)。
passwordRealm(自定义Realm,继承AuthorizingRealm)

    PasswordRealm passwordRealm = new UserRealm();
    passwordRealm .setName("userRealm"); //
    passwordRealm .setCredentialsMatcher(agentCredentialsMatcher());//匹配器
    passwordRealm .setCacheManager(redisCacheManager());//缓存管理,这里使用redis
    passwordRealm .setCachingEnabled(true);//是否开启缓存
    passwordRealm .setAuthenticationCachingEnabled(false);//是否缓存身份验证信息
    passwordRealm .setAuthenticationCacheName("aaa");//存放身份缓存的key
    passwordRealm .setAuthorizationCachingEnabled(true);//是否缓存权限信息
    passwordRealm .setAuthorizationCacheName("bbb");//存放缓存权限的key

jwtRealm(自定义realm,继承AuthorizingRealm)

    JwtRealm jwtRealm = new JwtRealm();
    jwtRealm.setName("jwtRealm");
    jwtRealm.setCredentialsMatcher(jwtCredentialsMatcher());

jwtRealm 需重写 supports

 // 限定这个Realm只支持我们自定义的JWT Token
@Override
public boolean supports(AuthenticationToken token) {
    return token instanceof JwtToken;
}
1.1.3 关闭shiro的session

然后在securityManager关闭shiro的session

	DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
    DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
    defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
    subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
    manager.setSubjectDAO(subjectDAO);
1.2 配置filters

这边我们配置一个JwtFilter,用于拦截请求校验。

    Map<String, Filter> filters = new LinkedHashMap<>();//这边使用LinkenHashMap,因为filter是有序的
    filters.put("authc",new JwtFilter());//authc校验,配置使用jwtFilter,

(这边有个坑,这个需要使用new,不能使用spring管理,使用spring管理会使所有的请求都通过这个filter,导致不需校验的anon请求也被校验,具体原因未知,还需查询shiro源码)

1.2.1 JwtFiter

JwtFilter,继承自AuthenticatingFilter
需重写createToken方法,

protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) {
    String jwtToken = getRequestToken((HttpServletRequest) servletRequest);
    return new JwtToken(jwtToken);
}

这里需要使用我们自定义token,这个token对应shiro的token,非jwt的token。
这个方法作用是在使用shiro的subject.login()的时候,只用jwtToken,并使用对应的realm校验。

1.2.1.1 JwtToken

JwtToken,需要实现AuthenticationToken,
主要属性为 private String token,这个对用jwt生成的token

先写到这吧

m0_67393295
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt令牌 -- shiro + springboot
qq_26702635的博客
04-16 450
jwt令牌 – shiro + springboot 最近我只是想简单的在java后台做一个jwt token的认证; 目的是为了作前后端的完全分离,拟定的框架原来是SpringSecurity, 中途我弃了,我发现仅仅是想关掉重定向这个功能就需要写很多的轮子,哎,还是使用shiro吧,老牌的,靠谱些。 使用这两个框架的原因:仅仅是它们自带的注解比较好用,如果自己写拦截器的话,轮子需要的更多了,真的没这么多时间折腾。 我的想法是这样的; 1.首先需要一个登录的post url接口(/login),这个
shiro 中出现 does not support authentication token
u012587407的博客
03-25 2596
在使用Shiro时,我们需要 自定义的CustomRealm继承AuthorizingRealm、 并且重写父类中的doGetAuthorizationInfo(权限相关)、 doGetAuthenticationInfo(身份认证)这两个方法。 每一个Ream都有一个supports方法,用于检测是否支持此Token ,如果没有重写supports就会报错 does not support...
shiro碰到的问题 does not support authentication token
大JAVA解决方案
08-06 5949
shiro碰到的问题 does not support authentication token   自己写了一个Ream,配置到了SecurityManager中,但是验证的时候,一直报这个错。 查了半天,没进展,最后还是发现自己粗心,代码的问题。 每一个Ream都有一个supports方法,用于检测是否支持此Token, 而我在该函数中,默认的采用了return false; fal...
Shiro整合Redis出现异常 org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro
qq_45593903的博客
03-20 5422
这个问题也是折磨了我半天:// 注意本文中绿色字体和红色字体的区别 分析情况:在Shiro底层进行调用的过程中,身份验证和授权验证 都会尝试从缓存中取出数据。 使用debug进行调试:发现身份验证和授权验证 都会调用自定义Cache的get和put方法,并且两种验证过程传给自定义Cache的get和put方法的参数key是相同的。 底层第一步: 登陆: 登陆时首先会调用 getAuthenticationCacheKey(AuthenticationT...
shiro笔记-"Authentication failed for token submission [org.apache.shiro.authc.UsernamePasswordToken - ...
weixin_30896511的博客
11-02 4720
在学习shiro过程中遇到这个错误,在网上找了好久资料也没找到解决办法,大概都是说和传入的值有问题。于是我试着耐心看我自己的报错信息,最终找到了原因并解决。每个人的问题可能都会有差异,所以建议大家耐心的看看它的报错信息。下面说一下我的问题。 这是我的详细报错信息,虽然不能完全理解,但是可以看出是UserMapper这个文件出错了,然后和返回类型有关,最后发现是resultMap出...
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
本项目结合了Apache Shiro、JSON Web Token (JWT)、SpringBoot、MySQL数据库以及Redis缓存技术(通过Jedis客户端)来实现这一机制。下面我们将详细探讨这些组件在实现无状态鉴权中的作用。 **Apache Shiro** Apache...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6678
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
Shiro+Jwt总结
m0_51433562的博客
03-19 8818
ShiroJWT整合实现用户的认证和授权
shiro的anon部分失效
k393393的博客
12-16 957
公司项目使用了shiro做了登录认证,直接从公司以前的shiro模块直接复制过来用。所有气象接口无需登录,于是做了过滤配置,但是后来发现部分气象接口依然需要登录,没有过滤掉,anon失效了 anon表示无需认证即可访问 authc:需要认证才可访问 authc要放在最后,anon放在authc之前 后来我查看了代码发现是HashMap的问题,改成LinkedHashMap就可以了,否则anon可能不起作用 简单看了一下源码 此方法需要的就是LinkedHashMap LinkedHashMap保证了
Shiro-集成Redis序列化失败报错解决
JolyouLu的博客
06-17 1837
Shiro-集成Redis序列化失败报错解决 最近在使用Shiro集成Redis,使用分布式缓存时序列化与序列化时报错,报错信息如 Cannot serialize; nested exception is org.springframework.core.serializer.support.SerializationFailedException: Failed to serialize object using DefaultSerializer; nested exception is java.
Shiro默认session SimpleSession反序列化错误
chuihuitiao5256的博客
12-22 3244
问题:项目整合Shiro,使用redis做cacheManger和sessionManager,使用过程中报SimpleSession反序列化错误,SimpleSession虽然没有实现Serializable接口,但可以通过writeObject(ObjectOutputStream out...
.ShiroHttpServletRequest cannot be cast to org.springframework.web.multipart.MultipartHttpServletReq
zy1176896650的博客
03-23 9053
今天在做照片上传,莫名其妙的报出来一堆错,同样的功能做过好多次了,从来没见过如此错误:java.lang.ClassCastException: org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.multipart.MultipartHttpServletRe...
org.apache.shiro.session.UnknownSessionException
走在命运的左岸
06-27 1303
问题说明: [list] [*]背景:系统登录,原允许用户名、手机号码、邮箱三者之一加密码进行登录,故在注册时严格限制注册用户名不能以数字开头,避免用户名与手机号码区分不开,即造成从数据库读取数据时出错的问题 [*]问题:刚刚接手,不了解之前的业务逻辑以及注册限制,且现在取消了手机号码以及邮箱登陆,导致用一串数字注册用户名时没有进行限制,注册成功了,但登录时报错 [/list] [i...
springboot shiro +jwt
最新发布
03-28
Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架,它简化了Spring应用程序的开发过程。Shiro是一个强大且易于使用的Java安全框架,提供了身份验证、授权、加密和会话管理等功能。JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。 结合Spring Boot、ShiroJWT可以实现一个安全可靠的Web应用程序。具体步骤如下: 1. 首先,你需要在Spring Boot项目中引入相关依赖,包括Spring Boot、ShiroJWT的依赖。 2. 接下来,你需要配置Shiro的相关组件,包括Realm、Session管理器和密码加密方式等。Realm负责验证用户身份和权限控制,Session管理器用于管理用户会话,密码加密方式用于对用户密码进行加密存储。 3. 然后,你需要编写自定义的Realm类,实现Shiro的认证和授权逻辑。在认证逻辑中,你可以使用JWT进行身份验证;在授权逻辑中,你可以根据用户角色和权限进行授权控制。 4. 在控制器层,你可以使用注解方式进行权限控制,例如@RequiresPermissions注解用于限制用户访问某个接口的权限。 5. 最后,你可以编写登录接口和生成JWT的逻辑。用户登录时,验证用户名和密码,如果验证通过,则生成JWT并返回给客户端;客户端在后续请求中携带JWT进行身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值