【Shiro+SpringBoot】JWT+Shiro安全的解决用户授权认证地址过滤问题

最新推荐文章于 2022-08-24 05:07:05 发布
最新推荐文章于 2022-08-24 05:07:05 发布
阅读量636 收藏 1
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33124323/article/details/105074301
版权

JWT的应用场景

关于JWT是什么,可理解为使用带签名的token来做用户和权限验证,现在流行的公共开放接口用的OAuth 2.0协议基本也是类似的套路。这里只是说下选择使用jwt不用session的原因。 首先,是要支持多端,一个api要支持H5, PC和APP三个前端,如果使用session的话对app不是很友好,而且session有跨域攻击的问题。

Shiro

3个概念

  1. SecurityManager,可以理解成控制中心,所有请求最终基本上都通过它来代理转发,一般我们程序中不需要直接跟他打交道。
  2. Subject ,请求主体。比如登录用户,比如一个被授权的app。在程序中任何地方都可以通过SecurityUtils.getSubject()获取到当前的subject。subject中可以获取到Principal,这个是subject的标识,比如登陆用户的用户名或者id等,shiro不对值做限制。但是在登录和授权过程中,程序需要通过principal来识别唯一的用户。
  3. Realm,这个实在不知道怎么翻译合适。通俗一点理解就是realm可以访问安全相关数据,提供统一的数据封装来给上层做数据校验。shiro的建议是每种数据源定义一个realm,比如用户数据存在数据库可以使用JdbcRealm;存在属性配置文件可以使用PropertiesRealm。一般我们使用shiro都使用自定义的realm。 当有多个realm存在的时候,shiro在做用户校验的时候会按照定义的策略来决定认证是否通过,shiro提供的可选策略有一个成功或者所有都成功等。 一个realm对应了一个CredentialsMatcher,用来做用户提交认证信息和realm获取得用户信息做比对,shiro已经提供了常用的比如用户密码和存储的Hash后的密码的对比。

需求

搭建一个基于Shiro+JWT可以进行用户认证和授权的后台服务

编码

JWT

第一步:编写一个JWT工具类,这个类负责token的加密,解密,是否过期等问题。

public class JWTUtil {
    // 过期时间 24 小时
    private static final long EXPIRE_TIME = 60 * 24 * 60 * 1000;


    /**
     * 生成 token
     */
    public static String createToken(String username,String password) {
        try {
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(password);
            // 附带username信息
            return JWT.create()
                    .withClaim("username", username)
                    //到期时间
                    .withExpiresAt(date)
                    //创建一个新的JWT,并使用给定的算法进行标记
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
            return null;
        }
    }

    /**
     * 校验 token 是否正确
     */
    public static boolean verify(String token, String username,String password) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(password);
            //在token中附带了username信息
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            //验证 token
            verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /**
     * 获得token中的信息,无需secret解密也能获得
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}

第二步:编写Filter,控制是否登入,跨域请求开启的功能

public class JWTFilter extends BasicHttpAuthenticationFilter {
			@Override
			protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
				if(isLoginAttempt(request, response)) {
					try {
						executeLogin(request, response);
						return true;
					} catch (Exception e) {
						responseError(response, e.getMessage());
						
					}
				}
				return true;
			}
			
			@Override
			protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
			HttpServletRequest requests=(HttpServletRequest) request;
			String token = requests.getHeader("Authorization");
			return token!=null;
			}
			
			@Override
			protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
				 HttpServletRequest httpServletRequest = (HttpServletRequest) request;
				 String token = httpServletRequest.getHeader("Authorization");
			     JWTToken jwtToken = new JWTToken(token);
				 // 提交给realm进行登入,如果错误它会抛出异常并被捕获
				  getSubject(request, response).login(jwtToken);
				return true;
			}
			@Override
			protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
		        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
		        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
		        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
		        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
		        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
		        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
		            httpServletResponse.setStatus(HttpStatus.OK.value());
		            return false;
		        }
		        return super.preHandle(request, response);
			}
			
			private void responseError(ServletResponse response, String message) {
				HttpServletResponse responses=(HttpServletResponse) response;
				message=URLEncoder.encode(message);
				try {
					responses.sendRedirect("/unauthorized/" + message);
				} catch (IOException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
		
}

第三步:重新包装token

public class JWTToken implements AuthenticationToken {
    private String token;

    public JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

Shiro

第一步:编写Shiro的配置类,定义jwt过滤器,访问策略,securitymanager,realm等。

@Configuration
public class ShiroConfig {
	@Bean
	public ShiroFilterFactoryBean shiroFilter(SecurityManager manager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
	     Map<String, Filter> filterMap = new LinkedHashMap<>();
	        //设置我们自定义的JWT过滤器
	     filterMap.put("jwt", new JWTFilter());
	     
	     shiroFilterFactoryBean.setFilters(filterMap);
	     shiroFilterFactoryBean.setSecurityManager(manager);
		shiroFilterFactoryBean.setLoginUrl("/login");
		shiroFilterFactoryBean.setUnauthorizedUrl("/notRule");
		Map<String,String> filterChainDefinitionMap=new LinkedHashMap<>();
		filterChainDefinitionMap.put("/**","jwt");
		filterChainDefinitionMap.put("/login","anon");
		filterChainDefinitionMap.put("/","anon");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		
		return shiroFilterFactoryBean;
	}
 
	   @Bean("securityManager")
	   public SecurityManager securityManager() {
	       DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
	       // 设置realm.
	       securityManager.setRealm(customRealm());
	       /*
	         * 关闭shiro自带的session
	         */
	        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
	        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
	        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
	        
	        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
	        securityManager.setSubjectDAO(subjectDAO);
	       return securityManager;
	   }
	   
	    @Bean
	    public CustomRealm customRealm() {
	        return new CustomRealm();
	    }
	    @Bean
	    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
	        return new LifecycleBeanPostProcessor();
	    }
	    @Bean
	    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
	        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
	        advisor.setSecurityManager(securityManager);
	        return advisor;
	    }
	    @Bean
	    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
	        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
	        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
	        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
	        return defaultAdvisorAutoProxyCreator;
	    }

}

第二步:编写Realm实现认证和授权

public class CustomRealm extends AuthorizingRealm{
	@Autowired
	UserRepository rp;

	/**
	 * 授权
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = JWTUtil.getUsername(principals.toString());
		SimpleAuthorizationInfo sa=new SimpleAuthorizationInfo();
		String role=rp.findByusername(username).getRole();
		HashSet<String> set = new HashSet<String>();
		set.add(role);
		sa.setRoles(set);
		return sa;
	}
	/**
	 * 认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
		String token = (String) authenticationToken.getCredentials();
		 // 解密获得username,用于和数据库进行对比
        String username = JWTUtil.getUsername(token);
    	String password = rp.findByusername(username).getPassword();
        if (username == null || !JWTUtil.verify(token, username,password)) {
            throw new AuthenticationException("token认证失败!");
        }
	   if (null == password) {
            throw new AccountException("用户名不正确");
        } else if (!password.equals(new String((char[]) authenticationToken.getCredentials()))) {
            throw new AccountException("密码不正确");
        }
		SimpleAuthenticationInfo simpleinfo=new SimpleAuthenticationInfo(token, token,"MyRealm");
		return simpleinfo;
	}   
	@Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }
    

}

总结

在ShiroConfig中配置JWTFilter,SecurityManager[Realm],访问策略。JWTFilter拦截请求并判断是否合法,若合法调用传递给Realm进行认证和授权。 PS:JWT的token其实是通过password对username进行加密签名形成的一串字符串代码。在解析的时候也需要查询数据库获得密码进行解密

芒果味丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证和权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户和权限数据,而Redis利用Jedis实现JWT安全存储和快速访问。这样的设计既...
Shiro配置URL过滤
aiqiushan4132的博客
06-30 368
常用过滤器: anon不需要认证 authc需要认证 user验证通过或RememberMe登录的都可以 URL说明: /admin?=authc 表示可以请求以admin开头的字符串,如xxx/adminfefe,但无法匹配多个,即xxx/admindf/admin是不行的 /admin*=authc ...
如何用Spring Boot整合Shiro+JWT?一招帮你解决
QQ2352108083的博客
05-13 328
简介 目前RESTful大多都采用JWT来做授权校验,在Spring Boot中可以采用ShiroJWT来做简单的权限以及认证验证,在和Spring Boot集成的过程中碰到了不少坑。便结合自身以及大家的常用的运用场景开发出了这个最简单的整合方式fastdep-shiro-jwt。 这里还要注意:光理论是不够的,在此送大家十套2020最新Java架构实战教程+大厂面试题库,进我扣裙 :七吧伞吧零而衣零伞 (数字的谐音)转换下可以找到了,里面很多新JAVA架构项目教程,还可以跟...
Shiro使用过滤器拦截用户的请求
September的博客
12-19 7218
Shiro使用过滤器拦截用户的请求 拦截配置信息在spring.xml配置文件中配置 &lt;bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"&gt; &lt;property name="securityManager" ref="securityManager...
基于ShiroJWT的无状态安全验证方案
weixin_46628206的博客
03-22 1231
本文涉及的源码地址:https://github.com/davidfantasy/shrio-with-jwt-spring-boot-starter 背景说明 用户权限管理是每个信息系统最基本的需求,对基于Java的项目来说,最常用的权限管理框架就是大名鼎鼎的Apache Shiro。Apache Shiro功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro的设...
shiro设置url过滤配置详解
m0_67390788的博客
08-24 698
perms(权限): /admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms[“user:add:*,user:modify:*”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https。版权声明:本文为博主原创文章,转载请附上博文链接!
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
最新发布
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
SpringBoot+shiro+redis+jwt .zip
01-03
3. `SecurityConfig.java`:`Shiro`的安全配置,包括过滤器链设置、 Realm配置(用户认证授权)。 4. `JwtTokenFilter.java`:自定义的过滤器,用于拦截请求,验证JWT并处理相关逻辑。 5. `UserServiceImpl.java`...
shiro入门-Shiro在web中内置的Filter过滤器和配置路径讲解 [文档]
小哇
03-23 1509
核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache...
Shiro+JWT实现用户登陆认证,权限控制
热门推荐
我的博客
06-05 1万+
shiro用来认证用户及权限控制,jwt用来生成一个token,暂存用户信息。为什么不使用session而使用jwt?传统情况下是只有一个服务器,用户登陆后将一些信息以session的形式存储服务器上,然后将sessionid存储在本地cookie中,当用户下次请求时将会将sessionid传递给服务器,用于确认身份。但如果是分布式的情况下会出现问题,在服务器集群中,需要一个sess...
shiro学习四(Spring boot整合shiro读取数据库中的url实现接口请求过滤认证
bird_tp的博客
07-13 1008
一、本篇概述 前面两篇中有讲解Spring boot整合shiro如何通过读取ini文件,数据库用户数据实现登录和权限认证授权等,那么就有人问了,我如果通过数据库中存储的当前用户可以访问哪些rul,来实现过滤当前用户可以访问哪接口或者是可以访问哪些页面,那么该怎么做呢?与上篇博客一样,因篇幅原因粘贴部门重要的代码,全部的代码下载demo案例 二、pom依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http..
使用shiro/spring security拦截器Filter,整合jwttoken进行校验【shiro/spring security 拦截token
世上哪有什么岁月静好,不过是有人替你负重前行
05-18 1802
默认的拦截器 下面的代码为请求声明其拦截器的类型 filterChainDefinitionMap.put("/login/index","anon"); filterChainDefinitionMap.put("/**","authc"); 整合了shiro安全框架后,当运行一个Web应用程序时,Shiro将会创建一些有用的默认 Filter 实例,并自动地将它们置为可用,而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的,当然我们也可以自定义 Filter 实例 常用的主
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1312
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
Shiro + JWT + Spring Boot Restful 入门
Pastxu的小屋
04-29 709
特性 完全使用了 Shiro 的注解配置,保持高度的灵活性。 放弃 Cookie ,Session ,使用JWT进行鉴权,完全实现无状态鉴权。 JWT 密钥支持过期时间。 对跨域提供支持。 准备工作 在开始本教程之前,请保证已经熟悉以下几点。 Spring Boot 基本语法,至少要懂得Controller、RestController、Autowired等这些基本注释。其实看看官方的 Getting-Start 教程就差不多了。 JWT...
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5702
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
登陆相关,拦截登陆,设置权限
sztdbk的博客
05-29 402
jwt 拦截器 用来拦截登陆,判断token是否生效 这里demo的token是在session中拿到的token,登陆时将token存入了session当中 @Slf4j public class JWTFilter extends AuthenticationFilter { /** * 判断用户是否想要登入。 * 检测 header 里面是否包含 Token */ protected boolean isLoginAttempt(HttpServle
前后端分离 springboot shiro+jwt token认证 权限校验
你走过的路 风都是暖的
11-14 1202
项目源码GitHub - dugt-1998/springboot-shiro-jwt: 杜国涛的仓库杜国涛的仓库. Contribute to dugt-1998/springboot-shiro-jwt development by creating an account on GitHub.https://github.com/dugt-1998/springboot-shiro-jwt 核心部分 shiro最核心的亮点无非认证授权 首先定义我们的配置类 /** * <...
shiro+springboot+jwt项目
05-23
Shiro是一个Java安全框架,可以提供身份验证、授权、加密和会话管理等功能,Spring Boot是一个快速开发框架,可以帮助开发人员更快地构建和部署...这样,就可以使用Shiro+Spring Boot+JWT构建一个安全的Web应用程序了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值