图解Jwt和shiro认证方式的区别

JWT与Shiro结合使用:无状态认证与全面安全框架的融合
原创 已于 2024-06-09 18:30:21 修改 · 6.2k 阅读 · 38 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt #shiro

于 2020-10-05 19:14:06 首次发布
JWT提供无状态的认证方式,适合微服务和跨域场景,而Shiro则是一个全面的安全框架,包括会话管理、授权和加密等功能。两者结合使用,JWT用于认证,Shiro处理授权和会话管理,以实现更复杂的安全需求。在现代应用中,这种结合能提供强大且灵活的安全解决方案。

在这里插入图片描述

1、Jwt的认证方式

用户进行登录中,访问微服务中Controller层的登录方法,若认证通过,生成Token(包含用户数据和权限),返回token信息到前端浏览器,然后,前端那边的代码会记录token,使得再去访问微服务的方法时,请求头都会包含token,然后,后端会解析token,校验token和操作权限,值得注意的是整个过程都不记录用户的任何数据,是一个无状态的服务

2、shiro的认证方式

用户登录后,交给后端自定义的Realm域,进行用户名和密码的认证比较,认证通过会产生一个以SessionId为key的用户安全数据,然后交给shiro的会话管理,将SessionId存入Redis服务,并将SessionId返回到前端,如果再访问其他后端的控制层方法时,请求头就会包含sessionId,然后再交给后端自定义的Realm域获取安全信息,再交给会话管理将传递过来SessionId与redis服务进行比较,返回自己构造的安全数据(安全数据一定要包含权限信息),因为需要对用户权限进行验证,如果访问请求没有携带sessionId,那么会产生一个新的sessionId,但还需要用户登录,而且,是一个有状态的服务

建议:关于什么是无状态的服务和有状态的服务可以看看这篇文章

3、为什么用了jwt,还用shiro?或者说用了shiro,为什么还用jwt?

使用JWT和Shiro并不是互斥的选择,它们在权限管理和认证领域各

最低0.47元/天 解锁文章
JWTShiro
weixin_44521516的博客
04-02 3004
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: ...
Shiro工作流程与架构设计:图解安全框架
m0_65382359的博客
07-07 1029
Override@Override@Override@Bean// 注册自定义过滤器// 配置过滤器链通过本文的图解分析,我们深入了解了Shiro的架构设计工作流程。合理使用Realm:根据数据源特点选择合适的Realm实现,或自定义Realm优化认证性能:为频繁的认证操作配置缓存,减少数据库访问细化授权粒度:使用权限而非角色进行授权控制,提高灵活性分布式会话管理:在集群环境中使用Redis等共享会话存储自定义过滤器。
shiroJWT
m0_54853420的博客
04-07 1231
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆无状态登陆的代表,所谓的有状态无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
Shiro jwt
MRzhenglea的博客
10-25 342
Shiro Subject currentUser=SecurityUtils.getSubject() Session session=currentUser.getSession() currentUser.isAuthenticated() currentUser.getPrincipal() currentUser.hasRole("schwartz") currentUser.ispermitted("lightsaber:wield") currentUser.logout();注销 三大组件
oauth,springsecurity,jwt,shiro 有什么区别,怎么选择
最新发布
10-27
嗯,用户这次的问题是关于OAuth、Spring Security、JWTShiro区别及选择建议。看来用户已经对OAuth有了基本了解(之前我详细解释过OAuth的原理),现在想进一步理清这些安全技术的定位关系。 从引用内容看,用户...
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解 基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录(SSO)...基于JWT实现SSO单点登录流程图解是实现单点登录的一种常见方法,具有很高的安全性可扩展性。
Shiro-721漏洞详解及复现
m0_64481831的博客
09-03 1454
之前有些Shiro-550反序列化漏洞的文章这里简单补充一下关于Shiro-721漏洞的内容。
Shiro框架JWT
市民景先生
07-11 3073
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求状态(0:失败;1:成功) messageCode int 详情请移步错误码page message String 提示信息 result Object 结果集 获取token POST /shiro/auth/token 输入参数 必须 类型 中文描述 applicationKey yes String 需要登录的项目key userName yes String 用户名 password yes String 密码 返回Result 类型 中文描述 token String 使用JWT生成的Token 请求示例 cu
ShiroJWT简介
小青龙,创造,变强
02-27 984
ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt
jwtshiro、spring-security的区别
d1018908563的博客
10-10 657
JSESSIONID 是固定的key,value 值是给该客户端新创建的 session 的 ID,之后的请求客户端会将此 key-value 放到 cookie 中一并请求服务器,服务器根据此 ID 寻找对应的 session 对象了;注意:secret 是保存在服务器端的,jwt 的签发生成也是在服务器端的,secret 就是用来进行 jwt 的签发 jwt 的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
ShiroJWT技术简介
無業䢟民的博客
01-18 2566
一、Shiro简介 Shiro是Java领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinalNutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证
毕设(四)ShiroJWT技术
qq_44648936的博客
04-18 547
一、Shiro简介 Shiro是一个主要用于认证授权功能的框架,用来替代JavaEE中的JAAS 相较于Spring Security,Shiro可以用在任意JavaWeb项目中,适用性更大一些,而Spring Security只能用在Spring项目中 原理 Shiro利用HTTPSession或者Redis存储用户的登录凭证,以及角色或者身份信息。然后利用过滤器对每个Http请求过滤,检查相应的HttpSession或者Redis中的认证与授权信息。根据情况反馈不同的信息。 二、JWT技术 JWT(J
SpringBoot中使用ShiroJWT认证鉴权(一)
热门推荐
菜鸟联盟
08-23 1万+
一,shirojwt区别 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口就可以了,已经把底层处理都写好了,而jwt只是一种生成token的机制,所有权限处理逻辑还需要自己写。两者不是一个概念上的东西。 二,什么时候要用JWT 当我们要把服务器做成无状态时(即服务器端不会保存session),这里我们就可以用到JWTShiro就是基于session保持回话,我们可...
权限与安全框架:Shiro+JWT整合(一)
菜鸡也有大佬梦
11-14 2653
依赖 <!--shrio--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1....
ShiroJWT OAuth权限认证方案详解
而基于ShiroOAuth的认证方式可以使得应用支持第三方登录,如使用Google、Facebook等社交账号登录。 ### 实际操作 在项目模块中实现Shiro-jwt-oauth权限认证,通常需要以下几个步骤: 1. 配置Shiro的...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值