Springboot集成Shiro和JWT

最新推荐文章于 2022-11-10 08:44:36 发布
最新推荐文章于 2022-11-10 08:44:36 发布
阅读量548 收藏 2
点赞数
分类专栏: 程序员 java 文章标签: shiro jwt spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36153149/article/details/110244789
版权

SpringBoot 2*版本

pom.xml 依赖

<!--shiro + jwt-->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.1</version>
</dependency>
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.8.2</version>
</dependency>

配置类 Config_Shiro

/**
 * shiro配置,不要用shiro的缓存,会和spring冲突
 */
@Configuration
public class Config_Shiro {

    /**
     * 1.自定义的Realm
     */
    @Bean
    public ShiroRealm MyRealm() {
        return new ShiroRealm();
    }

    /**
     * 2.配置Shiro过滤器管理
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);

        //添加自己的过滤器
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt", new JWTFilter());
        factoryBean.setFilters(filterMap);
        
        //设置无权限时跳转的url
        //factoryBean.setUnauthorizedUrl("/unauthorized/无权限");

        Map<String, String> filterRuleMap = new HashMap<>();
        //所有的请求通过我们自己的JWT-Filter
        filterRuleMap.put("/**", "jwt");

        //放行不需要校验的接口
        filterRuleMap.put("/swagger.**", "anon");
        filterRuleMap.put("/v3.**", "anon");
        filterRuleMap.put(".**_notify_url", "anon");
        factoryBean.setFilterChainDefinitionMap(filterRuleMap);
        return factoryBean;
    }

    /**
     * 3.注入securityManager
     */
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //设置自定Realm
        securityManager.setRealm(MyRealm());
        //关闭Shiro自带的session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        return securityManager;
    }


    /**
     * 添加注解支持
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

    /**
     * shiroConfig中@Value加载失败的解决方案
     * lifecycleBeanPostProcessor是负责生命周期的,初始化和销毁的类
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
}

JWT和过滤器等工具

  1. ShirRealm
/**
 * 自定义校验类
 */
public class ShiroRealm extends AuthorizingRealm {

    @Resource
    private IUmsMemberService memberService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    /**
     * 权限验证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        String userName = JWTUtil.getUsername(principalCollection.toString());
//        Member member = service_login.GetMember(userName);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        return info;
    }

    /**
     * 默认使用此方法进行用户正确与否验证,错误抛出异常即可
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        String token = (String) auth.getCredentials();
        String userName = JWTUtil.getUsername(token);
        String LoginType = JWTUtil.getLoginType(token);
        String password = null;
        
        if (LoginType != null && LoginType.equals("user")) {
            password = memberService.GetByNameMember(userName).getPassword();
            if (password == null) {
                throw new AuthenticationException("用户不存在");
            }
        }
        
        if (userName != null) {
            if (JWTUtil.verify(token, userName, password)) {
                return new SimpleAuthenticationInfo(token, token, getName());
            } else {
                throw new MyException(900, "用户密码错误");  //自定义的异常类
            }
        } else {
            throw new AuthenticationException("token认证失败");
        }
    }
}
  1. JWTUtil

public class JWTUtil {

    //一天过期
    private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000;

    /**
     * 生成token; loginType为登录类型
     */
    public static String sign(String username, String password, String loginType) {
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        Algorithm algorithm = Algorithm.HMAC256(password);
        return JWT.create()
                .withClaim("username", username)
                .withClaim("loginType", loginType)
                .withExpiresAt(date).sign(algorithm);
    }

    /**
     * 验证token
     */
    static boolean verify(String token, String username, String password) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(password);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username).build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 根据token解密出用户名
     */
    static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 根据token解密出登录类型
     */
    static String getLoginType(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("loginType").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}
  1. JWTToken
public class JWTToken implements AuthenticationToken {

    private String token;

    JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}
  1. MD5Util 登录时用到
public class MD5Util {
    /**
     * 加盐加密2次
     */
    public static String MD5Pwd(String username, String pwd) {

        return new SimpleHash(
                "MD5",
                pwd,
                ByteSource.Util.bytes(username + "salt"),
                2).toHex();
    }
}
  1. JWTFilter 过滤器
@Slf4j
public class JWTFilter extends BasicHttpAuthenticationFilter {

    private static String LOGIN_SIGN = "Authorization";
    private int code;

    /**
     * 1.跨域处理,过滤器之前处理前置增强
     */
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

    /**
     * 2.preHandle 过滤器之前处理前置增强
     * 返回true则允许访问,否则跳转到onAccessDenied
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        String servletPath = ((HttpServletRequest) request).getServletPath();
        log.info("请求路径:"+servletPath);

        //验证是否是有token
        if (isLoginAttempt(request, response)) {
            try {
                //进行shiro的校验
                executeLogin(request, response);
            } catch (Exception e) {
                code = Integer.parseInt(e.getMessage());
                return false;
            }
        }
        return true;
    }

    /**
     * 3.不允许访问之后执行此方法
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) {
        ((HttpServletResponse) response).setStatus(code);
        //如果返回true表示需要继续处理; 如果返回false表示该拦截器实例已经处理了,将直接返回即可
        return false;
    }

    /**
     * 4.在拦截器链执行完成后执行
     * 下一个是方法是afterCompletion; 完成处理/后置最终处理
     */
    @Override
    protected void postHandle(ServletRequest request, ServletResponse response) throws Exception {
        super.postHandle(request, response);
    }


    /**
     * 验证是否是有token
     * 有:已经登录过,需要再验证token有效性
     * 没有:用户想登录,而且请求是白名单中的login请求,放行
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader("Authorization");
        return authorization != null;
    }
    /**
     * 如果有token,就去验证token,或者已经登录了
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String header = httpServletRequest.getHeader(LOGIN_SIGN);
        JWTToken token = new JWTToken(header);
        //提交给Realm进行验证, 如没有抛出异常, 则代表验证成功返回true
        getSubject(request, response).login(token);
        return true;
    }
}

controller

    @RequestMapping(value = "/Login" ,method = RequestMethod.POST)
    public ResponseCon<?> login(String username, String password, Integer login_type) {
        //根据用户名读取用户信息
        UmsMember member = memberService.GetByNameMember(username);
        if (member != null) {
        
            //把前端传来的密码用md5工具加密,也可以在前端加密
            password = MD5Util.MD5Pwd(username, password);
            
            //与数据库中加密字符串对比一下,一样则密码正确
            if (member.getPassword().equals(password)) {
                //生成token,返回给前端保存
                member.setToken(JWTUtil.sign(username, password, "user"));
                ...
                return new ResponseCon<>(200, "success", member);
            }
        }
        return new ResponseCon<>(401, "error", "用户名或密码错误");
    }

自测…

YHosiris
关注
专栏目录
SpringBoot整合Shiro验证Jwt
m0_51382710的博客
11-14 355
使用SpringBoot整合Shiro对token进行校验
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot整合Shiro JWT
qq_38245668的博客
04-26 1975
SpringBoot整合Shiro JWT 参考: https://www.jianshu.com/p/9b6eb3308294 https://blog.csdn.net/bicheng4769/article/details/86668209 1:概述 1.1、shiro 一个安全框架,但不只是一个安全框架。它能实现多种多样的功能。并不只是局限在web层。在国内的市场份额占比高于Spri...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 7452
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot集成ShiroJwt和Redis,使用MyBatisPlus框架实现后台数据库操作。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
这个"springboot集成jwtshiro实现前后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现前后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWTShiro的使用技巧...
SpringBoot+Shiro+JWT实现权限管理
热门推荐
qq_42109746的博客
07-24 1万+
1.为什么使用JWT? 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码...
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 6754
SpringBoot 项目中使用 Shiro 安全框架和 JWT 来进行用户验证与权限控制
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
【Java专题_01】springboot+Shiro+Jwt整合方案
weixin_40736233的博客
04-02 1万+
【Java专题_01】springboot+Shiro+Jwt整合方案
Shiro+JWT+Spring Boot Restful简易教程
weixin_33834137的博客
10-26 946
序言 我也是半路出家的人,如果大家有什么好的意见或批评,请务必issue下。 项目地址:github.com/Smith-Cruis… 。 如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令即可进行访问。网址规则自行看教程后面。 如果想了解Spring Security可以看 Spring Boot 2.0+Srping Security+Thymeleaf的简易...
springboot+jwt+shiro
Swallow的博客
03-28 717
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 引用至百度百科 最近弄一个新的服务,比较简单,整合了一下安全框架 springboot+jwt+shiro还是比较常见的安全框架整合,简单记录一下这次整合过程 首先,pom.xml 文件添加依赖 <!--整合Shiro安全框架-->
SpringBoot+Shiro+JWT
weixin_37375983的博客
11-10 1018
SpringBoot+Shiro+JWT
springboot+shiro+jwt
staticvoi的博客
12-14 950
JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
springboot shiro jwt整合
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
09-22 224
提示:本配置的预期读者是熟悉shiro的session配置的开发者.如果不熟悉我有其他博客关于session式,可以查看 shiro默认是以session来确权的 现在以jwt的方式使用,那么登录方法就不再subject.login,而是返回jwt字符串,我们将userid放进去. @GetMapping("login") public String login(String username,String password) throws IllegalArgumentExceptio.
SpingBoot整合ShiroJWT
weixin_46648650的博客
03-14 5938
SpingBoot整合ShiroJWT 项目地址:https://github.com/seam95/SpringBoot-Shiro-Jwt.git Shiro学习知识点 Authentication:身份认 证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Management:会话管
springboot集成shiro jwt
最新发布
04-07
springboot集成shiro jwt是一种常见的安全认证机制,它将Spring BootShiro框架结合使用,同时使用JWT(JSON Web Token)进行身份认证和授权管理。JWT是一种安全的身份验证机制,通过使用数字签名,可以确保身份...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值