JWT刷新token+shrio+jwt 和小程序整合

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量596 收藏 4
点赞数
分类专栏: java 文章标签: jwt shrio redis springboot 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29648329/article/details/103858385
版权

后端

/**
 * JWT核心过滤器配置
 * 所有的请求都会先经过Filter,所以我们继承官方的BasicHttpAuthenticationFilter,并且重写鉴权的方法。
 * 执行流程 preHandle->isAccessAllowed->isLoginAttempt->executeLogin
 */
public class JwtFilter extends BasicHttpAuthenticationFilter {


    /**
     * logger
     */
    private static final Logger logger = LoggerFactory.getLogger(JwtFilter.class);

    /**
     * 判断用户是否想要进行 需要验证的操作
     * 检测header里面是否包含Authorization字段即可
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        String auth = getAuthzHeader(request);
        return auth != null && !auth.equals("");

    }

    /**
     * 此方法调用登陆,验证逻辑
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginAttempt(request, response)) {

            try {
                // 进行Shiro的登录jwtRealm
                JwtToken token = new JwtToken(getAuthzHeader(request));
                getSubject(request, response).login(token);
            } catch (AuthenticationException e) {
                try {
                    if (this.refreshToken(request, response)) {
                        return true;
                    }
                } catch (UnsupportedEncodingException ex) {
                    ex.printStackTrace();
                }
            }
        }else {
            // 没有携带Token
            HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
            // 获取当前请求类型
            String httpMethod = httpServletRequest.getMethod();
            // 获取当前请求URI
            String requestURI = httpServletRequest.getRequestURI();
            logger.info("当前请求 {} Authorization属性(Token)为空 请求类型 {}", requestURI, httpMethod);
//             mustLoginFlag = true 开启任何请求必须登录才可访问/
            Boolean mustLoginFlag = true;
            if (mustLoginFlag) {
                this.response401(response, "请先登录");
                return false;
            }
        }

        return true;
    }


    /**
     * 无需转发,直接返回Response信息
     */
    private void response401(ServletResponse response, String msg) {
        try {
            HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
            httpServletResponse.sendRedirect("/static/baodian/index.html");
        } catch (Exception e) {
            logger.error("直接返回Response信息出现IOException异常:" + e.getMessage());
            throw new CustomException("直接返回Response信息出现IOException异常:" + e.getMessage());
        }
//        HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
//        httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
//        httpServletResponse.setCharacterEncoding("UTF-8");
//        httpServletResponse.setContentType("application/json; charset=utf-8");
//        try (PrintWriter out = httpServletResponse.getWriter()) {
//            String data = JsonConvertUtil.objectToJson(new RestResponse(HttpStatus.UNAUTHORIZED.value(), "无权访问(Unauthorized):" + msg, null));
//            out.append(data);
//        } catch (IOException e) {
//            logger.error("直接返回Response信息出现IOException异常:" + e.getMessage());
//            throw new CustomException("直接返回Response信息出现IOException异常:" + e.getMessage());
//        }
    }
    /**
     * 提供跨域支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

    /**
     * 此处为AccessToken刷新,进行判断RefreshToken是否过期,未过期就返回新的AccessToken且继续正常访问
     */
    private boolean refreshToken(ServletRequest request, ServletResponse response) throws UnsupportedEncodingException {
        // 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
        String token = getAuthzHeader(request);
        JwtConfig jwtConfig = SpringUtils.getBean("jwtConfig");
        // 当前Token的账号(手机号)
        String phone = jwtConfig.getPhoneByToken(token);
//        final String refreshToken = jwtConfig.createTokenByWxAccount(phone);
        // 判断Redis中RefreshToken是否存在
        if (JedisUtil.exists(RedisConstant.PREFIX_SHIRO_REFRESH_TOKEN_WX + phone)) {
            // Redis中RefreshToken还存在,获取RefreshToken的时间戳
            String JwtId = JedisUtil.getObject(RedisConstant.PREFIX_SHIRO_REFRESH_TOKEN_WX + phone).toString();
            // 获取当前AccessToken中的时间戳,与RefreshToken的时间戳对比,如果当前时间戳一致,进行AccessToken刷新
            if (jwtConfig.getJwtIdByToken(token).equals(JwtId)) {
                // 刷新AccessToken,设置时间戳为当前最新时间戳
                token = jwtConfig.createTokenByWxAccount(phone);
                // 获取当前最新jwtId
                String newJwtId = jwtConfig.getJwtIdByToken(token);
                // 读取配置文件,获取refreshTokenExpireTime属性
                PropertiesUtil.readProperties("config.properties");
                String accessTokenExpireTime = PropertiesUtil.getProperty("accessTokenExpireTime");

                // 设置AccessToken中的时间戳为当前最新时间戳,且刷新过期时间重新为30分钟过期(配置文件可配置refreshTokenExpireTime属性)
                JedisUtil.setObject(RedisConstant.PREFIX_SHIRO_ACCESS_TOKEN_WX + phone, newJwtId, Integer.parseInt(accessTokenExpireTime));


                // 设置RefreshToken中的时间戳为当前最新时间戳,且刷新过期时间重新为30分钟过期(配置文件可配置refreshTokenExpireTime属性)
                JedisUtil.setObject(RedisConstant.PREFIX_SHIRO_REFRESH_TOKEN_WX + phone, newJwtId);

                // 将新刷新的AccessToken再次进行Shiro的登录
                JwtToken jwtToken = new JwtToken(token);
                // 提交给UserRealm进行认证,如果错误他会抛出异常并被捕获,如果没有抛出异常则代表登入成功,返回true
                this.getSubject(request, response).login(jwtToken);
                //  最后将刷新的AccessToken存放在Response的Header中的Authorization字段返回
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
                //此处会重新请求你的url 并且返回给前端
                httpServletResponse.setHeader("Authorization", token);
                httpServletResponse.setHeader("Access-Control-Expose-Headers", "Authorization");
                return true;
            }else {
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
                httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
                httpServletResponse.setCharacterEncoding("UTF-8");
                httpServletResponse.setContentType("application/json; charset=utf-8");
                try (PrintWriter out = httpServletResponse.getWriter()) {
                    String data = JsonConvertUtil.objectToJson(new RestResponse(HttpStatus.UNAUTHORIZED.value(), "无权访问", null));
                    out.append(data);
                    return true;
                } catch (IOException ez) {
                    logger.error("直接返回Response信息出现IOException异常:" + ez.getMessage());
                    throw new CustomException("直接返回Response信息出现IOException异常:" + ez.getMessage());
                }
            }
        }else {
            String msg = "Token已过期";
             //Token认证失败直接返回Response信息
            this.response401(response, msg);
        }
        return false;
    }
}

 

小程序端

var app = getApp();

const regeneratorRuntime = require("../regenerator/runtime");



function wxPromisify(fn) {

return function (obj = {}) {

return new Promise((resolve, reject) => {

obj.success = function (res) {

console.log(res)

if (res.header.Authorization!=null){

wx.setStorageSync("token", res.header.Authorization)

}



if (res.data.resultCode==401){

wx.removeStorageSync("userInfo")

wx.showModal({

title: '加载失败',

content: '请从新登录',

showCancel: false,

success: function (res) {

if (res.cancel) {

//点击取消,默认隐藏弹框

} else {

//点击确定

wx.navigateTo({

url: '../phone/phone',

})

}

}

})

}

//成功

resolve(res)

}

obj.fail = function (res) {

wx.hideLoading()

//失败

console.log(res)

reject(res)

}

fn(obj)

})

}

}

//无论promise对象最后状态如何都会执行

Promise.prototype.finally = function (callback) {

let P = this.constructor;

return this.then(

value => P.resolve(callback()).then(() => value),

reason => P.resolve(callback()).then(() => { throw reason })

);

};




/**

* 微信请求get方法

* url

* data 以对象的格式传入

*/

function getRequest(url, data) {

var getRequest = wxPromisify(wx.request)

return getRequest({

url: app.globalData.host + url,

method: 'GET',

data: data,

header: {

'Content-type': 'application/x-www-form-urlencoded',// 默认值,

'Authorization': wx.getStorageSync("token")

},

})

}



function uploadFile(url, filePath, formData,name){

var uploadFile = wxPromisify(wx.uploadFile)

return uploadFile({

// 模拟https

url: app.globalData.host + url, //需要用HTTPS,同时在微信公众平台后台添加服务器地址

filePath: filePath, //上传的文件本地地址

name: name,

formData: formData,

header: {

'Content-type': 'multipart/form-data',

'Authorization': wx.getStorageSync("token")

}

})

}






/**

* 微信请求post方法封装

* url

* data 以对象的格式传入

*/

function postRequest(url, data) {

var postRequest = wxPromisify(wx.request)

return postRequest({

url: app.globalData.host + url,

method: 'POST',

data: data,

header: {

'Content-type': 'application/x-www-form-urlencoded',// 默认值,

'Authorization': wx.getStorageSync("token")

},

})

}

/**

* 微信请求post方法封装

* url

* data 以对象的格式传入

*/

function postJsonRequest(url, data) {

var postRequest = wxPromisify(wx.request)

return postRequest({

url: app.globalData.host + url,

method: 'POST',

data: data,

header: {

'Content-type': 'application/json',// 默认值,

'Authorization': wx.getStorageSync("token")

},

})

}

/**

* 微信请求delete方法

* url

* data 以对象的格式传入

*/

function deleteRequest(url, data) {

var getRequest = wxPromisify(wx.request)

return getRequest({

url: app.globalData.host + url,

method: 'delete',

header: {

'Content-type': 'application/x-www-form-urlencoded',// 默认值,

'Authorization': wx.getStorageSync("token")

},

})

}



/**

* 微信请求put方法

* url

* data 以对象的格式传入

*/

function putRequest(url, data) {

var getRequest = wxPromisify(wx.request)

return getRequest({

url: app.globalData.host + url,

method: 'PUT',

data: data,

header: {

'Content-type': 'application/x-www-form-urlencoded',// 默认值,

'Authorization': wx.getStorageSync("token")

},

})

}

/**

* 微信请求putJson方法

* url

* data 以对象的格式传入

*/

function putJsonRequest(url, data) {

var getRequest = wxPromisify(wx.request)

return getRequest({

url: app.globalData.host + url,

method: 'PUT',

data: data,

header: {

'Content-type': 'application/json',// 默认值,

'Authorization': wx.getStorageSync("token")

},

})

}

module.exports = {

postRequest,

getRequest,

deleteRequest,

putRequest,

postJsonRequest,

putJsonRequest,

uploadFile

}

写的是两部分核心的东西其他的 网上都一样

不爱吃香菜的帅小伙
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt+shiro+redis实现token的自动刷新token的可控性
zhuzi的博客
08-17 6523
文章目录一、为何要使用jwt+shiro+redis二、AccessToken和RefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessToken及RefreshToken概念说明2-3. 关于Redis中保存RefreshToken信息(做到JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis和实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
springboot整和jwtshiroredis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT的验证。在Realm中,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis的使用,我们需要配置一个...
解决Shiro jwt并发刷新token问题
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessToken和RefreshToken中的时间戳是否一致,如果一致就重新生成一...
基于JWTShiro 做接口权限认证
最新发布
Karka_的博客
06-20 645
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
基于Shiro,JWT实现微信小程序登录完整例子
weixin_34233618的博客
11-30 687
小程序官方流程图如下,官方地址 : https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html : 如果此图理解不清楚的地方,也可参看我的博客 : https://www.cnblogs.com/ealenxie/p/9888064....
shiro+jwt实现无状态鉴权
blowbob_666的博客
11-19 501
Shiro+JWT实现无状态鉴权 转载自简书 coderymy 大神的文章 原文地址 https://www.jianshu.com/p/9b6eb3308294 技术选型: 原有的鉴权是通过单一Shiro+redis,保存用户的SessionId来完成的,单机环境提供服务完全没有问题。由于萌新手贱搭建服务集群,突然就遇到了一个问题: 用户操作被莫名的中断并拒绝,弹回登录界面。 在大致了解了SessionId的生成原理后,了解了负载均衡到不同的服务器时,直接导致sessionId发生变化,可能由于当初老大
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5825
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期内Token刷新方案源码+项目说明.zip
12-20
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期内Token刷新方案源码+项目说明.zip 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v...
jwt无状态权限认证(pings-shiro-jwt)
zhouping118的博客
05-22 2293
pings-shiro-jwt 简介 pings-shiro-jwt是基于jwtshiro的无状态权限认证工具,可实现如下两种认证方式: access token无状态权限认证 原理 优点 实现简单 不外部依赖运行环境 如果多个系统之间用户信息和配置的secret相同,某个系统签发的token即可访问所有其它的任意系统 问题 如果token过期时间太短,则每次到期后,都需要用户重新登...
JWTSpringBoot+微信小程序根据指定参数生成Token、更新Token、判断Token是否已经过期、封装wx.request请求更新Token并判断Token是否过期
番茄Salad
10-05 2475
封装了wx的request请求,每次发起请求的时候都走一遍更新Token的接口/user/updateTokenTime,如果接口返回offline则代表已经过期,则跳转到登录页面,否则就是没有过期,则更新缓存userInfo中的token。如果你想有一些接口不要经过这个request封装,就比如用户没有登录是可以进入到首页等页面的,开放一些允许用户没有登录状态可以访问的接口。我们可以再封装一个request,专门开放接口不经过Token验证。微信小程序点击登录按钮调用该方法。
Shiro+SpringBootJWT+Shiro安全的解决用户授权认证地址过滤问题
芒果味的博客
12-05 654
JWT的应用场景 关于JWT是什么,可理解为使用带签名的token来做用户和权限验证,现在流行的公共开放接口用的OAuth 2.0协议基本也是类似的套路。这里只是说下选择使用jwt不用session的原因。 首先,是要支持多端,一个api要支持H5, PC和APP三个前端,如果使用session的话对app不是很友好,而且session有跨域攻击的问题。 Shir...
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1322
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
JWTToken超时刷新策略
热门推荐
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwttoken自己没有超时刷新机制,所以这里简单贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户的JWT生成的Token作为k、v存储到cache缓存里面(这时候k、v值一样) * 2、当该用...
怎么样判断accesstoken是否过期
pengfeifei26的专栏
12-24 7263
用code去换取token的时候,会返回三个参数:现在的accesstoken的有效期是一个月,refreshtoken的有效期是两个月,expirein是过期时间(生命期,从获得的时刻起的剩余有效时间,以秒为单位);第一次登陆的时候需要和用户的人人uid一起与网站uid关联起来,还需要保存accesstoken的获取时间,以后调接口发新鲜事的时候先判断一下accesstoken是否过期,算法:现...
accessToken refreshToken简单使用源码demo,双token刷新及有效时间设置
a704397849的博客
10-23 1万+
最后会附上源码 这篇介绍了一个项目中使用的双token登录认证刷新的demo,如需移植到生产项目中,需要根据实际情况做修改。 有个地方需要注意: 我这里刷新产生新的refreshToken时 旧的refreshToken并没有失效,如果不是特别敏感这点的话可以不计较,若是在意的话,那需要自己处理:比如用缓存记录失效的token每次token认证判断是否是失效的token ,如果是的话就返回验证失败...
前后端分离 springboot shiro+jwt token认证 权限校验
你走过的路 风都是暖的
11-14 1235
项目源码GitHub - dugt-1998/springboot-shiro-jwt: 杜国涛的仓库杜国涛的仓库. Contribute to dugt-1998/springboot-shiro-jwt development by creating an account on GitHub.https://github.com/dugt-1998/springboot-shiro-jwt 核心部分 shiro最核心的亮点无非认证加授权 首先定义我们的配置类 /** * <...
springboot+jwt+shiro+redis例子
07-17
最后,创建一个名为`JwtToken`的Shiro Token,用于封装JWT令牌。您可以参考以下代码: ```java import org.apache.shiro.authc.AuthenticationToken; public class JwtToken implements AuthenticationToken { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值