Shiro+JWT超详解

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量1.1w 收藏 69
点赞数 10
分类专栏: web后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39159736/article/details/116483650
版权

shiro这几篇博客比较好

https://www.jianshu.com/p/6abc22ec3cb8

https://blog.csdn.net/mine_song/article/details/61616259

jwt原理这几篇博客比较好

https://www.jianshu.com/p/e34a579c63a0

https://learnku.com/articles/17883

https://blog.csdn.net/weixin_43409309/article/details/102569913

首先我们来分别看看shiro和jwt的作用:

 

shiro:

 

三个核心组件

Subject, SecurityManager 和 Realms.
①Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
②SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
③Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

 

登录认证过程简述

①调用subject.login方法进行登录,其会自动委托给securityManager,login方法进行登录;
②securityManager通过 Authenticator(认证器)进行认证
③Authenticator的实现ModularRealmAuthenticaton调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm ( shiro自带,相当于数据源) ;

④IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null ,如果找到则匹配密码,匹配密码成功则认证通过。

 

 

 

 

 

 

 

 

jwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的?

一、Token

                              token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。

1. API 鉴权
那么 API 用户凭证一般有几种方式呢?我大概整理了如下:

cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘述。客户端和服务器通过sessionID维持会话。

HTTP Basic:将账号和密码拼接然后 base64 编码加到 header 头中。很显然,因为账号和密码几乎是『明文』传输的,而且每次请求都传,安全性可想而知。

HTTP Digest:将账号和密码加上其他一些信息拼接然后取摘要加到 header 头中。这个安全性比上面要好一点,因为如果是取摘要的话,即使信息段被截取,也无法轻易破解出来(当然也是有破解的可能)。

不过其实最大的问题还是:每次请求都要对账号、密码取一次摘要,也就是说每次请求都要有账号和密码,也就是说账号和密码要么缓存一下,要么就每次请求要去用户输一次密码,这样显然不合适。同样,上面的 Basic 也存在这样的问题。

Token:token 通过一次登录验证,得到一个鉴权字符串,然后以后带着这个鉴权字符串进行后续操作,这样就可以解决客户端每次请求不需要带账号密码的问题,每次请求只要带着token即可,而且也不需要反复使用账号和密码。

二 :Tokencookie + session的区别:

       一、session的状态保持及弊端


                当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从数据库获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。

 

弊端:

1、服务器压力增大

通常session是存储在内存中的,每个用户通过认证之后都会将session数据保存在服务器的内存中,而当用户量增大时,服务器的压力增大。

2、CSRF跨站伪造请求攻击

session是基于cookie进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

3、扩展性不强

如果将来搭建了多个服务器,虽然每个服务器都执行的是同样的业务逻辑,但是session数据是保存在内存中的(不是共享的),用户第一次访问的是服务器1,当用户再次请求时可能访问的是另外一台服务器2,服务器2获取不到session信息,就判定用户没有登陆过。

        二、token认证机制,其实这是jwt的功能。。。

 

jwt和最早的token的区别是:

WT全称JSON Web Token,由三部分组成: header(头)、payload(载体)、signature(签名)。 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单

 

             token与session的不同主要在::

①认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)

②浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)

③再次访问时服务器端对token值的处理:服务器对浏览器传来的token值进行解密,解密完成后进行用户数据的查询,如果查询成功,则通过认证,实现状态保持,所以,即时有了多台服务器,服务器也只是做了token的解密和用户数据的查询,它不需要在服务端去保留用户的认证信息或者会话信息,这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。

 

Token 的种类
一般来说 token 主要三种:

          自定义的 token:开发者根据业务逻辑自定义的 token
          JWT:JSON Web Token,定义在 RFC 7519 中的一种 token 规范
          Oauth2.0:定义在 RFC 6750 中的一种授权规范,但这其实并不是一种 token,只是其中也有用到 token

接下来主要讲解JWT:  这是一个真实的jwt字符串

header={typ=JWT, alg=HS512},body={sub=7, iat=1620354034, exp=1620958834},signature=JAiLPfYv4cetlP1AX678ERwf4aPTUhEXONP9LhWTJrxjdB2PgcJvSVgIV4oXC0Cb7Ivb-_EPcet-C-NU3VJvnQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

qq_39159736
关注
专栏目录
Shiro+JWT
qq_32699009的博客
09-13 2274
apache旗下的一个开源框架,实现用户身份认证,权限授权,加密,会话管理等功能 内容均转载自ShiroJWT MD5加密 概述 MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 也就是0123456789ABCDEF构成的混合数字码 特点 不可逆:相同数据的MD5值肯定一样,不同数据的MD5值不一样。 压缩性:任意长度的数据,算出的MD5值长度都是固定的 弱抗碰撞:已知原数据和MD5值,想找到一个具有相同MD5值是非常
shiro实现jwt
cmm1的博客
10-24 2293
这里只实现jwtshiro实现前面文章有,先实现shiro在实现jwtjwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1182
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiroJWT
m0_54853420的博客
04-07 1152
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 1260
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用了 Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
JWTShiro
bhegi_seg的博客
03-26 1515
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: shiro框架详解讲了一大堆,看起来好像不错,但实际结合jwt应用时,就显得一头雾水。 结合github上Spr
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8943
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Shiro + JWT + SpringBoot应用示例代码详解
08-19
Shiro + JWT + SpringBoot 应用示例代码详解 Shiro 是一种功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理, 可用于保护从命令行应用程序、移动应用程序到 Web 和企业应用程序等应用的...
基于springboot+shiro+jwt+vue+redis的后台管理系统.zip
12-24
这是一个全面的后端管理系统开发项目,使用了现代Web开发中的多个核心技术栈,包括SpringBoot、ShiroJWT、Vue.js以及Redis。以下是这些技术在该项目中的应用和知识点详解: 1. **SpringBoot**:SpringBoot是...
基于SpringBoot、Mybaitis-Plus、Redis、Shiro+JWT构建无状态、Hadoop的云网盘存储系统
03-13
【标题】基于SpringBoot、Mybatis-Plus、Redis、Shiro+JWT构建的无状态、Hadoop云网盘存储系统,旨在实现一个高效、安全、可扩展的分布式存储解决方案。这个项目融合了现代Web开发技术和大数据处理框架,为用户提供...
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
SpringBoot集成shiro+redis+jwt实现无状态授权验证
热门推荐
liangshitian的博客
01-03 3万+
前言 1.放弃Cookie,Session,使用JWT进行鉴权,完全实现无状态鉴权。 2.JWT密钥支持过期时间;jwt作为创建验证token工具,并选择一种验证方式与算法。 3.使用redis做缓存处理,缓存token等等登录信息,以实现单点登录与时登录功能。 4.密码加密(采用AES-128 + Base64的方式)。 5.根据RefreshToken自动刷新AccessToken...
Shiro框架和JWT
市民景先生
07-11 2863
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
Shiro整合JWT
m0_67391270的博客
03-28 1449
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
shiro + jwt
saienenen的博客
02-06 347
1,前言 最近在做项目,做到权限模块,感觉登录功能也没这么简单。 查阅了一些文档加博客,大致明白了如何写这个模块。所以记录一下。 2,正文 一,POM <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.
ShiroJWT技术简介
無業䢟民的博客
01-18 2461
一、Shiro简介 Shiro是Java领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证?
shiro + JWT
07-27
ShiroJWT是两个不同的技术,可以结合使用来实现认证和授权功能。 Shiro是一个Java领域非常知名的认证和授权框架,用于替代JavaEE中的JAAS功能。相较于其他框架,Shiro设计简单,适用性广泛。任何JavaWeb项目都可以使用Shiro框架,包括非Spring框架的项目,如JFinal和Nutz。Shiro可以用于保存登录凭证、查询用户角色和权限,并通过注解来限制方法的访问权限。\[1\] JWT(JSON Web Token)是一种用于身份验证的技术。传统的HttpSession依赖于浏览器的Cookie存放SessionId,要求客户端必须是浏览器。而JWT的Token是纯字符串,可以被任何客户端使用,包括浏览器、APP、小程序和物联网设备。客户端在发起请求时,只需附带上Token即可,而无需特定的存储方式。例如,物联网设备可以使用SQLite存储Token数据。\[2\] 因此,结合ShiroJWT可以实现更灵活的认证和授权功能。Shiro负责处理用户登录、角色和权限的管理,而JWT负责生成和验证身份令牌。通过结合使用,可以实现跨平台、跨设备的身份验证和授权功能。 #### 引用[.reference_title] - *1* *2* *3* [ShiroJWT简介](https://blog.csdn.net/lad_z/article/details/129240771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值