Shiro + JWT 登录认证授权

最新推荐文章于 2024-03-31 15:04:01 发布
最新推荐文章于 2024-03-31 15:04:01 发布
阅读量770 收藏 2
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393827/article/details/124019197
版权

一、解释流程

大体流程:

  1. 用户使用username和secret登陆,将sercret通过MD5加密,通过username查询库中是否有该条记录,并比较加密后的密码是否相同登陆成功后利用JWTutil生成带过期时间的token以后发送请求时都需要在header中添加Authorization字段附加该token信息

  2. 结合程序实现一个JWTutil,在其中实现利用登陆信息生成token,根据token获取username,token验证等方法;

  3. 实现一个JWTFilter继承BasicHttpAuthenticationFilter类,该拦截器需要拦截所有请求除(除登陆、注册等请求),用于判断请求是否带有token,并获取token的值传递给shiro的登陆认证方法作为参数,用于获取token;

  4. 定义ShiroRealm继承AuthorizingRealm类,在其中实现登陆验证权限获取的方法;

  5. 定义ShiroConfig配置类,用于生成ShiroManage及将shiroRealm交付给ShiroManage处理,并将jwtFilter添加进shiro的拦截器链

  6. controller中可以使用**@RequiresPermissions来对用户权限进行拦截**;

  7. 数据库表设计(user、role、menu表)项目中页面、按钮需要在菜单控制中进行添加,包括对应的请求链接、权限控制代码,前端也需要对按钮进行权限限制,使用v-hasPermission,控制代码与配置需一致。

    此流程原文地址

二、 简要流程,

  1. 前端请求登录,传入用户名和密码和令牌token

  2. 后端进入jwtFilter拦截判断当前请求中是否是登录请求

  3. 如果是登录请求,就不执行shiro认证和授权,直接进入控制器进行帐号和密码校验校验成功生成token返回

  4. 如果是非登录请求,jwtFilter执行executeLogin方法进入自定义realm进行认证doGetAuthenticationInfo(认证不通过,抛出异常,然后调用异常处理)和授权doGetAuthorizationInfo,都通过然后进入自己的控制器

    感谢大佬的文章 原文地址

喵喵喵更多
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 与shiro整合
while(True): print('adorable')
10-29 236
shiro~ shiro快速入门springboot 整合shiro核心目标清爽pom用户认证授权认证,与数据库交互shiro configuration核心controller 获取shiro 中的token页面控制功能的隐藏和显示 https://github.com/sevenyoungairye/spring-boot-study/tree/main/springboot-shiro-07 shiro快速入门 什么是shiro apache shiro 是一个java的安全(权限)框架。 sh
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
7_springboot_shiro_jwt_多端认证鉴权_自定义AuthenticationToken
最新发布
paopao_wu的专栏
03-31 962
本小节会先对Shiro的核心流程进行一次回顾,并进行梳理。然后会介绍如果应用是以API接口的方式提供给它方进行调用,那么在这种情况下如何使用Shiro框架来完成接口调用的认证授权
手把手教你Shiro整合JWT实现登录认证
daishu21的博客
06-26 101
手把手教你Shiro整合JWT实现登录认证_shiro jwt_小二上酒8的博客-CSDN博客
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8341
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 742
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录登录表单中,包含了两个主要参数:用户名username、密码passwo
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Shiro + JWT + SpringBoot应用示例代码详解
08-19
最后,我们可以使用 Shiro + JWT + SpringBoot 来实现身份验证和授权。 这篇文章主要介绍了 Shiro + JWT + SpringBoot 应用示例代码详解,通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴...
基于SpringBoot、Mybaitis-Plus、Redis、Shiro+JWT构建无状态、的云网盘存储系统+源代码+文档说
11-29
| Shiro | 认证授权框架 | [http://shiro.apache.org/](http://shiro.apache.org/) | | MyBatis-Plus | ORM框架 | [https://mp.baomidou.com/l](https://mp.baomidou.com/l) | | PageHelper | MyBatis物理分页插件...
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud,认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
springboot,shiro跨域CORS请求,拿不到headers中的token值解决
m0_67402774的博客
08-25 1374
最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和userId的值,并且前端会报跨域问题。所以我们要做的就是把所有的OPTIONS请求统统放行。
shiro doGetAuthenticationInfo
风华绝代的博客
08-19 5828
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {         this.principals = new SimplePrincipalCollection(principal, realmNam
Shiro+JWT实现认证授权
qq_44759750的博客
03-12 884
流程: 1、将token(JWT生成和验证)封装成认证对象(使用ThreadLocal保证线程安全) 2、定义认证授权实现方法(Realm类) 3、拦截HTTP请求,验证Token(Filter) 4、把设置应用到Shiro框架(创建ShiroConfig回传四个对象) 5、 回传token:使用AOP拦截Web对象返回方法,从ThreadLocalToken中获取token写入返回对象,然后返回。 代码实现 JWT加密和验证token /** * JWT对userId进行加密生成token
jwt结合shiro实现认证和权限控制,非常详细
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2204
Springboot整合Shiro+JWT实现用户登录认证和权限授权
SpringBoot-Shiro权限控制( 3 )
志豪的博客
12-13 349
SpringBoot-Shiro权限控制(2019.12.13) 在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()方法完成Shiro的权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用...
shiro doGetAuthenticationInfo
weixin_30536513的博客
11-09 271
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) { this.principals = new SimplePrincipalCollection(principal, ...
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo后执行login的问题
热门推荐
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
springboot shiro +jwt
03-28
3. 然后,你需要编写自定义的Realm类,实现Shiro认证授权逻辑。在认证逻辑中,你可以使用JWT进行身份验证;在授权逻辑中,你可以根据用户角色和权限进行授权控制。 4. 在控制器层,你可以使用注解方式进行权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值