springboot 集成shiro ,简单演示jwt

最新推荐文章于 2023-06-02 09:21:51 发布
最新推荐文章于 2023-06-02 09:21:51 发布
阅读量343 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myth_g/article/details/82114306
版权

1.首先集成maven依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2.自定义过滤器,获取token信息进行登陆

public class MyFilter extends BasicHttpAuthenticationFilter {

    //跨域处理
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
       // httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-control-Allow-Origin", "*");
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        response.setCharacterEncoding("utf-8");
        return super.preHandle(request, response);
    }

//这里看到暂时没有用到,之前看别人demo有用.
/*
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginSubmission(request, response)) {
                executeLogin(request, response);
        } else {
            HttpServletResponse response1 = (HttpServletResponse) response;
            try {
                response1.getWriter().write("no token");
            } catch (IOException e) {
                e.printStackTrace();
            }
            return false;
        }
        return true;
    }*/

    //拒绝访问后回调到这里
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginAttempt(request, response)) {
            try{
                executeLogin(request, response);
            }catch (Exception e){
                HttpServletResponse response1 = (HttpServletResponse) response;
                try {
                    ObjectMapper ob = new ObjectMapper();
                    Map<String,Object> map = new HashMap<>();
                    map.put("msg", e.getMessage());  
                    map.put("code","201" );
                    String s = ob.writeValueAsString(map);
                    response1.getWriter().write(s);
                } catch (IOException ee) {
                    ee.printStackTrace();
                }
                return false;
            }
        } else {
            HttpServletResponse response1 = (HttpServletResponse) response;
            try {
                response1.getWriter().write("no token");
            } catch (IOException e) {
                e.printStackTrace();
            }
            return false;
        }
        return super.onAccessDenied(request, response);
    }
    

    //是否具备登陆条件
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader("token");
        return authorization != null;
    }


    //进行登陆验证,如果失败getSubject将产生异常,抛到onAccessDenied进行捕获
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response)  {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String authorization = httpServletRequest.getHeader("token");
        MyToken token = new MyToken(authorization);
        getSubject(request, response).login(token);
        return true;
    }



    //登陆回调,这里没有调用subject.Login,所以用不到
    /*@Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        System.out.println("ddawdwadaawd");
        return super.onLoginFailure(token, e, request, response);
    }

    @Override
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception {
        System.out.println("wadwa21313131111111111");
        return super.onLoginSuccess(token, subject, request, response);
    }*/
}

3.自定义token

public class MyToken implements AuthenticationToken {
    private String token;

    public MyToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

4.自定义的realm

@Component
public class MyRealm extends AuthorizingRealm {

    //是否支持验证
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof MyToken;
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String token = (String) principalCollection.getPrimaryPrincipal();
        Set role = new HashSet();
        if (token.equals("123")) {
            role.add("admin");
        } else {
            role.add("guest");
        }
        Set perms = new HashSet();
        if (token.equals("123")) {
            perms.add("ddd");
        } else {
            perms.add("delete");
        }
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(role);
        simpleAuthorizationInfo.addStringPermissions(perms);
        return simpleAuthorizationInfo;
    }

    //验证身份
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String token = (String) authenticationToken.getPrincipal();
        if (token == null) {
            throw new AuthenticationException("没有jwt的token");
        }
        if (!token.equals("123") && !token.equals("111")) {
            throw new UnknownAccountException("验证失败");
        }
        return new SimpleAuthenticationInfo(token, token, "myRealm");
    }
}

5.shiro权限控制中心

@Configuration
public class MyShiroFilter {


    @Bean("shiroFilter")
    public ShiroFilterFactoryBean bean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        Map<String, Filter> filters = bean.getFilters();
        filters.put("jwt", new MyFilter());
        filters.put("myRole", new RoleConfig());
        filters.put("myPerm", new PermConfig());
        Map<String, String> filterRuleMap = new HashMap<>();
        filterRuleMap.put("/login", "anon");
        filterRuleMap.put("/index", "jwt,myRole[admin]");
        filterRuleMap.put("/test", "jwt");
        filterRuleMap.put("/**", "jwt");
        bean.setFilterChainDefinitionMap(filterRuleMap);
        bean.setUnauthorizedUrl("/fail");
        return bean;
    }

    //安全管理器
    @Bean
    public DefaultWebSecurityManager manager(MyRealm realm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(realm);
        //这里设置不创建session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator evaluator = new DefaultSessionStorageEvaluator();
        evaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(evaluator);
        manager.setSubjectDAO(subjectDAO);
        return manager;
    }

    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        // https://zhuanlan.zhihu.com/p/29161098
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

6.自定义的roles,perms过滤

public class PermConfig extends PermissionsAuthorizationFilter {
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;
        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            if (subject.isPermitted(rolesArray[i])) {
                return true;
            }
        }
        return false;
    }
}
public class RoleConfig extends AuthorizationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        Subject subject = this.getSubject(servletRequest, servletResponse);
        String[] rolesArray = (String[]) o;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }
        return false;
    }
}

7.controller

@RestController
public class IndexController {

    @GetMapping("login")
    public Object login(@RequestParam(required = true) String name, @RequestParam(required = true) String pass) {
        if (name.equals("gao") && pass.equals("123")) {
            return "123";
        } else {
            throw new ExceptionA(2222,"登陆失败");
        }
    }


    @GetMapping("index")
    public Object index() {
        return "测试role";
    }

    @GetMapping("fail")
    public Object fail() {
        Map map = new HashMap<>();
        map.put("message", "授权失败");
        return map;
    }

    @RequiresPermissions(value = "delete")
    @GetMapping("test")
    public Object test() {
        return "测试资源";
    }
}

该demo过于简陋,并没有涉及到jwt,都将登陆信息写死了...但是思路是对的,在login接口中生成jwt的token,返给前端,然后后台带着token访问接口,拦截器拿到token,然后进行验证处理;

myth_gy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro学习笔记---入门Demo(JWT令牌)
hamster204的专栏
05-24 227
前言 上一篇博客采用了搭建Demo的方式说明了如何使用Shiro共享session实现分布式架构。而本篇博客将介绍ShiroJWT结合,实现前后端分离。本Demo仍然力求简洁清晰,因此在工程代码中有与上一篇博客代码重合部分将被省略,如有不清楚的地方请先看第一篇关于Shiro基础博客然后再回来继续阅读。 业务设计 JWT :JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。与Shiro结合主要关注的是无状态服务...
Shiro整合JWT
m0_67391270的博客
03-28 1388
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 924
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。JwtToken (JWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3337
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
shiro中使用自定义filter后,anon不生效解决方案
m0_67391683的博客
08-30 2161
参考:https://stackoverflow.com/questions/51552021/adding-custom-filter-apache-shiro-spring-boot。使用了LinkedHashMap,但配置了anon的接口还是会通过JwtFilter。改写后 配置了anon的接口不会再通过jwtFilter。
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
shiro-jwt-springbootshiro合并jwt前进行分离权限认证示例
01-29
总结来说,"shiro-jwt-springboot"项目为我们提供了一个示例,演示了如何在Spring Boot应用中利用Apache Shiro进行权限认证,并结合JWT进行安全的身份验证。通过这个项目,开发者可以学习到如何分离权限认证逻辑,...
项目演示springboot整合shiro.zip
04-04
- **JWT集成**:可以结合JSON Web Tokens(JWT)进行身份验证,提高安全性并支持无状态API。 - **CORS支持**:如果应用需要跨域访问,需配置CORS策略。 - **分布式环境**:在分布式环境中,考虑使用Redis或...
Spring boot整合shiro+jwt实现前后端分离
08-25
下面是一个简单的示例代码,演示如何使用 Spring Boot 框架整合 ShiroJWT 实现前后端分离: ```java @RestController @RequestMapping("/api") public class LoginController { @Autowired private ...
基于SpringBoot+Shiro+Redis+Jwt+Thymeleaf+MyBatis 开发的后台用户、角色+源代码+文档
最新发布
11-28
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6154
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
SpringBoot】2021终极版shiro+jwt整合策略,包含shiro1.5+新特性,极简配置,全网独家。
ckw1988的专栏
03-23 6655
目前最好的shiro+jwt整合策略,2021终极版,更新更简洁,包含shiro1.8新特性。 2021年发布shiro1.8带来了质的飞跃,对于本文的需求来说,最利好的包括两点:一是增加了对SpringBoot自动装配机制的支持;二是增加了BearerHttpAuthenticationFilter这个默认过滤器,从而让Jwt的整合获得了原生级的适配性。以上两项特性大大精简了我们的配置工作,且让当前网络上所有的教程都落后于时代。(包括官网和英文网络,搜到的教程基本都是旧版本的配置。)...........
学习Spring Boot:(十六)使用ShiroJWT 实现认证服务
热门推荐
追光者的博客
05-06 1万+
前言 需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时access_token进行资源访问。这里我们将使用 JWT 1,基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。该密钥只有服务端知道。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。 认证步骤 客户端第一次使用用户名密码访问认证服务器,服务...
你们要的Shiro权限分离入门就在这里!
猫叔的博客
05-27 415
阅读本文约“12分钟”适读人群:Java中级猫叔:哟,最近断更了一段时间,后续会继续和大家调侃,今天给大家推荐一篇基于Shiro的入门项目,小纯洁是我老友,编码4年有余,本篇知识点集中、...
Shiro+JWT+Spring Boot Restful简易教程
weixin_33834137的博客
10-26 939
序言 我也是半路出家的人,如果大家有什么好的意见或批评,请务必issue下。 项目地址:github.com/Smith-Cruis… 。 如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令即可进行访问。网址规则自行看教程后面。 如果想了解Spring Security可以看 Spring Boot 2.0+Srping Security+Thymeleaf的简易...
spring boot整合shiro+jjwt
weixin_42755909的博客
08-05 6653
前言 本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token) JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : ...
教你 Shiro + SpringBoot 整合 JWT
sweetfire的博客
07-24 1217
JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3V...
springboot集成shiro jwt
04-07
springboot集成shiro jwt是一种常见的安全认证机制,它将Spring Boot和Shiro框架结合使用,同时使用JWT(JSON Web Token)进行身份认证和授权管理。JWT是一种安全的身份验证机制,通过使用数字签名,可以确保身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值