JWT + shiro

最新推荐文章于 2024-09-04 23:22:25 发布
最新推荐文章于 2024-09-04 23:22:25 发布
阅读量246 收藏
点赞数
文章标签: html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25118431/article/details/120128516
版权

JWT 的三个部分依次如下。

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

1.1 Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{

  "alg": "HS256",

  "typ": "JWT"

}

1.2  Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

1.3 Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256)

1.4 JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Shiro

Subject:主体,可以看到主体可以是任何可以与应用交互的 “用户”;

SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理;

Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro 不知道你的用户 / 权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的 Realm;

SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 呢需要有人去管理它的生命周期,这个组件就是 SessionManager;

SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把 Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能;

CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。

1. 身份验证

在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:

principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。

credentials:证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。

2. 授权

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

doGetAuthenticationInfo执行时机如下

当调用Subject currentUser = SecurityUtils.getSubject();

currentUser.login(token);

 

doGetAuthorizationInfo执行时机有三个,如下:

1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候;

2、@RequiresRoles("admin") :在方法上加注解的时候;

3、[@shiro.hasPermission name = "admin"][/@shiro.hasPermission]:在页面上加shiro标签的时候,即进这个页面的时候扫描到有这个标签的时候。

再别康桥_Victor
关注
shiro实现jwt
cmm1的博客
10-24 2316
这里只实现jwtshiro实现前面文章有,先实现shiro在实现jwtjwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
Shiro+JWT
qq_32699009的博客
09-13 2295
apache旗下的一个开源框架,实现用户身份认证,权限授权,加密,会话管理等功能 内容均转载自ShiroJWT MD5加密 概述 MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 也就是0123456789ABCDEF构成的混合数字码 特点 不可逆:相同数据的MD5值肯定一样,不同数据的MD5值不一样。 压缩性:任意长度的数据,算出的MD5值长度都是固定的 弱抗碰撞:已知原数据和MD5值,想找到一个具有相同MD5值是非常
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 1330
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
JWTshiro结合实现认证
最新发布
weixin_42564451的博客
09-04 711
JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的最大特点是它是自包含的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能。
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 9238
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
JWTShiro
bhegi_seg的博客
03-26 1534
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: shiro框架详解讲了一大堆,看起来好像不错,但实际结合jwt应用时,就显得一头雾水。 结合github上Spr
基于springboot+vue实现进销存管理系统前后端分离(springboot+vue+mybatis+JWT+shiro)
08-24
系统功能如下: ┌─销售管理 │ ├─销售报价 │ ├─销售订单 │ └─销售统计 ├─采购管理 │ ├─采购申请 │ ├─采购询价 │ ├─采购报价 │ ├─采购比价 │ ├─采购订单 │ ├─采购预付申请 ...
spring boot 整合JWT+shiro
10-09
在本文中,我们将深入探讨如何将`Spring Boot`与`JWT (JSON Web Token)`和`Shiro`框架整合,以实现安全的身份验证和授权管理。`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
kuangjia:SpringBoot+JWT+Shiro+MybatisPlus后端脚手架
05-14
Apache Shiro是一款强大易用的Java安全框架,Java官方推荐使用Shiro,它比Spring Security更简单易用,Spring自己的系列Spring side4也把权限扩建换成Shiro了。现在API越来越流行,如何安全保护这些API? JSON Web ...
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
基于JWTShiro 做接口权限认证
ewii12567的博客
07-24 1355
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Springboot+jwt+shiro
url_9507的博客
11-01 4557
一. Jwt配置 1、JwtUtils public class JwtUtils { public static final String SECRET = "f2ea985e640aae55392cfe2e1ded562c"; public static final Integer EXPIRE = 1000*60*60*2; public static final ...
Shiro整合JWT
m0_67391270的博客
03-28 1467
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
介绍一下 Jwt+Shiro
03-12
Jwt Shiro 是一种基于 Java 的安全框架,它结合了 JSON Web Token(JWT)和 Apache Shiro,提供了一种简单、安全、可靠的身份验证和授权解决方案。JWT 是一种轻量级的身份验证和授权机制,它使用 JSON 格式传递信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值