Shiro + JWT 登录认证授权

最新推荐文章于 2024-03-31 15:04:01 发布
最新推荐文章于 2024-03-31 15:04:01 发布
阅读量770 收藏 2
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393827/article/details/124019197
版权

一、解释流程

大体流程:

  1. 用户使用username和secret登陆,将sercret通过MD5加密,通过username查询库中是否有该条记录,并比较加密后的密码是否相同登陆成功后利用JWTutil生成带过期时间的token以后发送请求时都需要在header中添加Authorization字段附加该token信息

  2. 结合程序实现一个JWTutil,在其中实现利用登陆信息生成token,根据token获取username,token验证等方法;

  3. 实现一个JWTFilter继承BasicHttpAuthenticationFilter类,该拦截器需要拦截所有请求除(除登陆、注册等请求),用于判断请求是否带有token,并获取token的值传递给shiro的登陆认证方法作为参数,用于获取token;

  4. 定义ShiroRealm继承AuthorizingRealm类,在其中实现登陆验证权限获取的方法;

  5. 定义ShiroConfig配置类,用于生成ShiroManage及将shiroRealm交付给ShiroManage处理,并将jwtFilter添加进shiro的拦截器链

  6. controller中可以使用**@RequiresPermissions来对用户权限进行拦截**;

  7. 数据库表设计(user、role、menu表)项目中页面、按钮需要在菜单控制中进行添加,包括对应的请求链接、权限控制代码,前端也需要对按钮进行权限限制,使用v-hasPermission,控制代码与配置需一致。

    此流程原文地址

二、 简要流程,

  1. 前端请求登录,传入用户名和密码和令牌token

  2. 后端进入jwtFilter拦截判断当前请求中是否是登录请求

  3. 如果是登录请求,就不执行shiro认证和授权,直接进入控制器进行帐号和密码校验校验成功生成token返回

  4. 如果是非登录请求,jwtFilter执行executeLogin方法进入自定义realm进行认证doGetAuthenticationInfo(认证不通过,抛出异常,然后调用异常处理)和授权doGetAuthorizationInfo,都通过然后进入自己的控制器

    感谢大佬的文章 原文地址

喵喵喵更多
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 与shiro整合
while(True): print('adorable')
10-29 236
shiro~ shiro快速入门springboot 整合shiro核心目标清爽pom用户认证授权认证,与数据库交互shiro configuration核心controller 获取shiro 中的token页面控制功能的隐藏和显示 https://github.com/sevenyoungairye/spring-boot-study/tree/main/springboot-shiro-07 shiro快速入门 什么是shiro apache shiro 是一个java的安全(权限)框架。 sh
shiro doGetAuthenticationInfo
weixin_30536513的博客
11-09 271
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) { this.principals = new SimplePrincipalCollection(principal, ...
手把手教你Shiro整合JWT实现登录认证
daishu21的博客
06-26 98
手把手教你Shiro整合JWT实现登录认证_shiro jwt_小二上酒8的博客-CSDN博客
7_springboot_shiro_jwt_多端认证鉴权_自定义AuthenticationToken
最新发布
paopao_wu的专栏
03-31 961
本小节会先对Shiro的核心流程进行一次回顾,并进行梳理。然后会介绍如果应用是以API接口的方式提供给它方进行调用,那么在这种情况下如何使用Shiro框架来完成接口调用的认证授权
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2203
Springboot整合Shiro+JWT实现用户登录认证和权限授权
springboot shiro jwt实现认证授权
myli92的博客
03-16 2242
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证授权Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Shiro + JWT + SpringBoot应用示例代码详解
08-19
最后,我们可以使用 Shiro + JWT + SpringBoot 来实现身份验证和授权。 这篇文章主要介绍了 Shiro + JWT + SpringBoot 应用示例代码详解,通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴...
基于SpringBoot、Mybaitis-Plus、Redis、Shiro+JWT构建无状态、的云网盘存储系统+源代码+文档说
11-29
| Shiro | 认证授权框架 | [http://shiro.apache.org/](http://shiro.apache.org/) | | MyBatis-Plus | ORM框架 | [https://mp.baomidou.com/l](https://mp.baomidou.com/l) | | PageHelper | MyBatis物理分页插件...
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud,认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
后端接收不到前端传入的header参数信息
~~~~~~~BUG FLY~~~~~~~~~
04-14 8454
问题描述: 在局域网下,前端页面请求时在请求头里携带token信息,后台获取不到header里的token参数 String token = request.getHeader("accessToken"); if (!StringUtil.hasText(token)) { token = request.getParameter("accessToken"); } ... 原因分析: debug查看了下返回的request参数 host = 172.16.115.198:8080 conn
tp6获取不到请求头的Authorization, 解决方法
Shelly Long的博客
12-06 3782
在.htaccess里面加多一项 <IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^...
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6344
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
解决:shiro中重写doGetAuthenticationInfo,结果先执行doGetAuthenticationInfo后执行login的问题
Liucheng417的博客
07-17 1万+
前提: Springboot整合Shiro后,启动项目,点击一次登录,却先执行MyShiroRelam类(继承AuthorizingRelam类)中的重写方法doGetAuthenticationInfo(),token为null,再执行Login调用的此方法,传过来username和password的验证。再执行doGetAuthenticationInfo()方法,token为null 原...
shiro 自定义拦截器继承AccessControllerFilter后无法获取用户登录信息
醋拌柠檬
04-05 1528
shiro自定义拦截器继承AccessControllerFilter,在ShiroConfig中加入到拦截器链中。 package com.lwp.website.shiro; import com.alibaba.fastjson.JSON; import com.lwp.website.entity.Vo.UserVo; import com.lwp.website.res.ResourceManage; import com.lwp.website.utils.RedisUtil; impor
springboot+shiro+jwt实现token认证登录
qq_40997700的博客
12-17 4811
准备: springboot 2.5.5 jdk 1.8 没有操作刷新token功能,也没有放redis做缓存 1.先贴代码 2.后讲一下验证逻辑 1.导入依赖 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&gt
Shiro用户名密码或手机号短信登录(多realm认证
张育嘉的博客
09-13 1万+
登录认证中,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
springboot shiro +jwt
03-28
3. 然后,你需要编写自定义的Realm类,实现Shiro认证授权逻辑。在认证逻辑中,你可以使用JWT进行身份验证;在授权逻辑中,你可以根据用户角色和权限进行授权控制。 4. 在控制器层,你可以使用注解方式进行权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值