shiro整合jwt+redis

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量2.9k 收藏 14
点赞数 4
分类专栏: java 文章标签: shiro+jwt+redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37101171/article/details/100765825
版权 
   前两篇文章我们整合了shiro+jwt无状态权限验证,这样只把tocken存储在前端,后端只验证Tocken是否合法。
   考虑一个问题就是我们在设置了token过期时间之后会使前端用户退出在APP端的话很不友好,而且也不是很安全。
   两种业务模式仅供参考:
   1.BS架构时 我需要前端在国半小时自动退出,那么我们可以直接使用tocken过期自动退出。
   2.在app端我不想让用户经常退出,需要让他自己手动退出,那么问题来了,JWT是不能手动注销的,我们就需要用到了redis做存储,设置redis的失效时间长于自己定义的jwt的tocken过期时间,每次登陆时先清空该用户的tocken 然后创建新的tocken存储在redis里面,在Realm类里面验证自定义的tocken是否过期,过期之后去查找redis里面的tocken进行tocken验证。验证成功之后在创建一个新的token返回前端 重新给redis的token赋值,这样就不会出现 因为token过期而实效的问题了,当需要注销登录时直接清空前端token值和redis里面的token值就可以了。
  问题来了:假设redis里面的token过期之后就没有新的tocken返回前端了 ,所以解决这个问题就用到了数据库,当redis里面的tocken过期之后去检查数据库然后更新数据库新的tocken和更新redis里面的新的tocken值返回给前端。

业务一: Realm类

package eurekaclientone.demo.shiro;


import eurekaclientone.demo.daoImpl.loginImpl;
import eurekaclientone.demo.jwt.jwtToken;
import eurekaclientone.demo.utils.RedisUtil;
import eurekaclientone.demo.utils.jwtUtil;
import org.apache.commons.lang.StringUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashSet;
import java.util.Set;
@Component
public class CustomRealm extends AuthorizingRealm {
    HttpServletRequest request;
    HttpServletResponse response;
    private loginImpl logins;
    @Autowired
    private void setUserMapper(loginImpl logins) {
        this.logins = logins;
    }
    @Autowired
    private RedisUtil redisUtil;
    @Autowired
    private eurekaclientone.demo.daoImpl.tockenImpl tockenImpl;

    /**
     * 必须重写此方法,不然会报错
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof jwtToken;
    }


    /**
     * 获取身份验证信息
     * Shiro中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。
     *
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("————身份认证方法————");
        String token = (String) authenticationToken.getCredentials();
        // 解密获得username,用于和数据库进行对比
        String username = jwtUtil.getUsername(token);
        //首先先去判断自动生成的token是否已经过期  如果已经过期去redis里面判断是否过期
         if(!jwtUtil.verify(token, username)){
             if(redisUtil.hasKey(username)==false){
                 //如果redis里面也是空的提示重新登录  有可能tocken过期 就在数据库里面查询
                 if(StringUtils.isBlank(tockenImpl.selectToken(username))){
                     throw new AuthenticationException("您的登录已过期,请您重新登录!");
                 }else {
                         //判断数据库
                         if(StringUtils.isNotBlank(tockenImpl.selectToken(username))){
                                 //如果数据库不是空的 判断该用户是否存在
                                 String password = logins.getPassword(username);
                                 if (password == null) {
                                     throw new AuthenticationException("该用户不存在!");
                                 }
                                 //重新生成token 放进redis 每次请求方法返回给前端重置token
                                 redisUtil.del(username);
                                 tockenImpl.deTocken(username);
                                 redisUtil.set(username,jwtUtil.createToken(username),360);
                                 tockenImpl.inTocken(username,jwtUtil.createToken(username));
                         }

                     }

                 } else {
                 if(redisUtil.get(username).toString().equals(token)) {
                     String password = logins.getPassword(username);
                     if (password == null) {
                         throw new AuthenticationException("该用户不存在!");
                     }
                 }else{
                     throw new AuthenticationException("用户认证失败");
                 }
             }
             }


        // 拿到视图解析器
           /*    if (username == null || !jwtUtil.verify(token, username)) {
                    throw new AuthenticationException("token认证失败!");
                }*/
       //如果自动生成的token不是空的 判断该用户是否存在
        String password = logins.getPassword(username);
        if (password == null) {
            throw new AuthenticationException("该用户不存在!");
        }
        return new SimpleAuthenticationInfo(token, token, "MyRealm");
        //从Shiro中获取用户
        //UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
     /* // 从数据库获取对应用户名密码的用户
        String password = logins.getPassword(token.getUsername());
        if (null == password) {
            throw new AccountException("用户名不正确");
        } else if (!password.equals(new String((char[]) token.getCredentials()))) {
            throw new AccountException("密码不正确");
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(), password, getName());*/


    }


    /**
     * 获取授权信息
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("————权限认证————");
        //单独shiro认证时
      /*  String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
        String role = logins.getRole(username);
        //如果一个用户有多个权限应该是List接受循环遍历
        Set<String> set = new HashSet<>();
        //需要将 role 封装到 Set 作为 info.setRoles() 的参数
        set.add(role);
        //设置该用户拥有的角色
        info.setRoles(set);*/

      //shiro+jwt方式
        Set<String> roleSet = new HashSet<>();
        Set<String> permissionSet = new HashSet<>();
        //获取用户名
        String username = jwtUtil.getUsername(principalCollection.toString());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
        String role = logins.getRole(username);
        //每个角色拥有默认的权限
        String rolePermission = logins.getPermiss(username);
        //每个用户可以设置新的权限
        //String permission = logins.getPermission(username);
        roleSet.add(role);
        permissionSet.add(rolePermission);
        info.setRoles(roleSet);
        info.setStringPermissions(permissionSet);
        return info;
    }
}

登录接口

    @PostMapping(value = "/login")
    @ApiOperation(value = "登录接口",httpMethod = "POST")
    @ApiImplicitParams(value = {
            @ApiImplicitParam(name = "account",required = true,type = "string"),
            @ApiImplicitParam(name = "password",required = true,type = "string")
    })
    public Result show(@RequestParam(value = "account") String account,@RequestParam(value = "password") String password){
        //单shiro
      /*  // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(account, password);
        // 执行认证登陆
        subject.login(token);
        //根据权限,指定返回数据
        //String role = logins.getRole(account);*/
      //shiro+jwt方式
        Result result=new Result();
        //登录时把生成的token放进redis  失效时间大于token设置失效时间
        List list=new LinkedList();
        String token=jwtUtil.createToken(account);
        //先清空该用户的token
        redisUtil.del(account);
        tockenImpl.deTocken(account);
        //把新的token放进redis
        redisUtil.set(account,token,360);
        tockenImpl.inTocken(account,token);
       login login= logins.show(account,password);
        list.add(token);
        list.add(login.getAccount());
        list.add(login.getId());
        result.setList(list);
        return result;
    }

注销接口

 @GetMapping("/logout")
    @ApiOperation("注销接口")
    public Result logout(@RequestHeader(value = "Token")String token){
        Result result=new Result();
        String account=jwtUtil.getUsername(token);
        redisUtil.del(account);
        tockenImpl.deTocken(account);
        result.setMessage("注销成功");
       return result;
    }
零度呀
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整和jwtshiroredis实现token自动刷新
08-19
springboot整和jwtshiroredis实现token自动刷新
JWT+shiro+redis整合
yc_Cabbage的博客
08-15 1648
JWT+shiro+redis整合
基于JWTShiro 做接口权限认证
最新发布
Karka_的博客
06-20 604
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
前后端分离权限设计方案:shiro+redis+jwt
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
Shiro框架和JWT
市民景先生
07-11 2530
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
分布式权限 shiro + jwt + redis(第三期)
qq_21561833的博客
10-30 1444
但是自己这个项目最开始使用的shiro,而且权限对应的角色,菜单都已经写好了,所以主体采用的shiro。使用jwt 标识每个用户的身份。使用redis 存储每个用户的权限。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。在这个realm里面有认证和授权的逻辑。然后可以从jwt字符串中解析出用户的id。生成token,将用户id和锁拥有的权限存储进入redis
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot集成ShiroJwtRedis
10-24
本教程将深入探讨如何在SpringBoot项目中集成ShiroJwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
使用Shiro+Redis+jwt实现会话共享和身份校验
weixin_40145253的博客
03-10 554
使用Shiro+Redis+jwt实现会话共享和身份校验 Shiro是一个轻量级的权限管理系统,可以比较轻松的实现权限管理和养护登录身份校验。Shiro的缓存和会话信息则可以通过Redis存储。可以参考开源项目shiro-redis-spring-boot-starter的jar包。 具体教程可以看shiro-redis开源文档:GitHub地址也可以参考markerhub的项目点击跳转 本示例采用jwt作为跨域身份验证解决方案。逻辑如下: 1.导入依赖文件 <dependency>
JWTShiro
bhegi_seg的博客
03-26 1464
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: shiro框架详解讲了一大堆,看起来好像不错,但实际结合jwt应用时,就显得一头雾水。 结合github上Spr
Shiro + Redis + Jwt
Yang's Blog
03-23 398
1. ShiroConfig 配置安全管理器 配置Session管理器 配置缓存 配置过滤路径 package com.yang.server.config.shiro; import org.apache.shiro.mgt.DefaultSubjectDAO; import org.apache.shiro.mgt.SessionStorageEvaluator; import org.apache.shiro.mgt.SubjectDAO; import org.apache.shiro..
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
RedisJWT 实现session分布式 区别】
weixin_59565183的博客
06-07 695
Redis中,Session的数据是以Key-Value的形式进行存储,其中Key是一个唯一的Session ID,Value则是Session中包含的所有信息,如Session的创建时间、最后访问时间、Session属性等。比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。根据实际的应用场景,我们可以选择不同的Session管理解决方案。
springboot整合shiro + jwt + redis实现权限认证(上手即用)
weixin_56227932的博客
12-22 5390
最近项目中涉及到使用shiro来作为权限认证,之前对shiro没有做太多的了解,所以一段时间不用的话,忘记得很快,好记性不如烂笔头。在闲暇之余整理springboot整合shiro得demo,我看了网上一些整合得案列,有写得好的,也有些残差不全。我结合目前使用得项目中代码,整合了一遍。基本上可以直接放在项目中使用。如果有什么缺陷,希望大家指正,目前博客只贴出主要的类供大家参考,具体的请移步gitee上看详细类容。
Shiro+JWT+redis思路记录
qq_45195830的博客
06-17 949
有感而写。。记录一下权限认证思路 实现登录功能时,权限认证是必不可少的。常用到Shrio+JWT+redis来实现认证。认真思路如下
Shiro+Jwt+Redis
qq_43907296的博客
05-27 705
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
shiro+jwt+redis
05-19
结合ShiroJWTRedis可以实现以下功能: 1. 用户身份验证:使用JWT生成令牌,对于每个请求,后端可以使用Shiro来验证令牌,并从Redis中获取用户数据。 2. 用户权限控制:使用Shiro的授权功能,可以根据用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值