Spring + Shiro + JWT 开发简单的认证与授权(单角色)

最新推荐文章于 2024-09-04 23:22:25 发布
最新推荐文章于 2024-09-04 23:22:25 发布
阅读量498 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291919/article/details/107739664
版权

前言

单角色的意思就是,一个用户只有一个角色,用户与角色处于一对一关系,因此,角色可以放到用户表的字段中冗余。在一些小型项目中,需求也许没有那么复杂,因此只考虑单角色。

以下项目的 gitee 地址,便于需要时直接 clone:

https://gitee.com/jiang_chun_bo/shiro-single-role.git

创建数据表

建立一个数据库,复制到 mysql 命令行执行就行了。本文是使用 MySQL 的 test 数据库。

CREATE TABLE `sys_user`  (
  `id` int NOT NULL AUTO_INCREMENT,
  `username` varchar(255) NULL,
  `password` varchar(255) NULL,
  `role` varchar(255) NULL,
  PRIMARY KEY (`id`)
);

Maven 工程 pom.xml 文件

配置可参考

https://blog.csdn.net/qq_39291919/article/details/108269682

SpringBoot 配置文件

配置一下数据源即可。IP、端口、数据库名、用户名、密码根据需要改。

spring:
   datasource:
      url: jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC
      username: root
      password: root

POJO 与常量

UserDO.java

sys_user 的 Java 实体类

@TableName(value = "sys_user")
@Getter
@Setter
public class UserDO {
    
    @TableId(value = "id", type = IdType.AUTO)
    private Integer id;
    
    @TableField(value = "username")
    private String username;
    
    @TableField(value = "password")
    private String password;
    
    @TableField(value = "role")
    private String role;
   
}

ResponseCode.java

ResponseVO.java

ResponseVO 为返回给前端的包裹对象;ResponseCode 进行了返回码的定义。具体可见:

https://blog.csdn.net/qq_39291919/article/details/106630987

LoginDTO.java

前端传递给后端的对象

@Getter
@Setter
public class LoginDTO {
    private String username;
    private String password;
}

LoginVO.java

后端传递给前端的对象

@Getter
@Setter
public class LoginVO {
    private String token;
}

Mapper

UserMapper.java

只需要继承 MybatisPlus 的 BaseMapper 即可

@Repository
public interface UserMapper extends BaseMapper<UserDO> {

}

SpringBeanUtil

为了能够在没有被 Spring 容器管理的对象中获取 Bean,自定义容器工具,可参考如下文章代码:

https://blog.csdn.net/qq_39291919/article/details/108415183

JsonWebToken

Shiro 框架提供的 UsernamePasswordToken 已经不适用了,JWT 是不存储敏感等敏感信息的。自己实现一个。Credentials 目前不返回任何有效值,直接返回 null。

public class JsonWebToken implements HostAuthenticationToken {
	
    private String username;

    private String host;

	public JsonWebToken(String username, String host) {
		super();
		this.username = username;
		this.host = host;
	}

	@Override
	public Object getPrincipal() {
		return username;
	}

	@Override
	public Object getCredentials() {
		return null;
	}

	@Override
	public String getHost() {
		return host;
	}

}

JwtFilter

JwtFilter 是当用户请求非匿名权限的 URL 时会执行的过滤器。

@Component
public class JwtFilter extends BasicHttpAuthenticationFilter {
	
	/**
	 * 每个请求都会先判断 isAccessAllowed(),该方法返回 false,之后会走 onAccessDenied()
	 */
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
		return false;
	}
	
	/**
	 * super 方法会先 createToken,使用该 token 进行登录
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		super.executeLogin(request, response);
		return true;
	}

	/**
	 * 重写 createToken,根据 JWT 头部获取
	 */
	@Override
	protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
//		获取 IP 地址
		String host = request.getRemoteHost();
//		获取 JWT 头部值,如果为空,则 username 以空值返回
		String jwtHeader =  httpServletRequest.getHeader("X-Token");
		if(jwtHeader == null || jwtHeader.length() == 0) {
			return new JsonWebToken("", host);
		}
//		如果 header 不为空,那么尝试解析 username
		String username = JWT.decode(jwtHeader).getClaim("username").asString();
		if (username == null || username.length() == 0) {
            return new JsonWebToken("", host);
        }
		
		return new JsonWebToken(username, host);
	}

    @Override
    protected boolean preHandle(ServletRequest req, ServletResponse res) throws Exception {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (request.getMethod().equals(RequestMethod.OPTIONS.name())) {
            response.setStatus(HttpStatus.OK.value());
            response.setHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN,
                request.getHeader(HttpHeaders.ORIGIN));
            response.setHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_METHODS,
                request.getHeader(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD));
            response.setHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS,
                request.getHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS));
            response.setHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS,
                request.getHeader(HttpHeaders.ACCESS_CONTROL_REQUEST_HEADERS));
        }
        response.setHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN,
            request.getHeader(HttpHeaders.ORIGIN));
        return super.preHandle(request, response);
    }
}

Realm

Realm 是 Shiro 中的概念,当执行 JWTFilter.executeLogin() 方法中的 getSubject().login() 时,会进入Realm 进行认证信息与权限信息获取。

@Component
public class DefaultAuthorizingRealm extends AuthorizingRealm {

	@Autowired
	UserMapper userMapper;

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		/* 取得本用户的 username */
		UserDO user = (UserDO)SecurityUtils.getSubject().getPrincipal();

		/* 添加 role,这里只有 1 个 role */
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addRole(user.getRole());
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//    	这里的 token 其实是 JsonWebToken 的实例
		String username = token.getPrincipal().toString();
//      根据 username 查询系统用户
		UserDO user = userMapper.selectOne(new QueryWrapper<UserDO>().lambda().eq(UserDO::getUsername, username));
		if (user == null) {
			throw new UnknownAccountException("用户不存在");
		}
		return new SimpleAuthenticationInfo(user, null, getName());
	}

}

ShiroConfiguration

注意:此处代码在导入包时可能会报错,因为 Shiro 中使用的是 org.apache.shiro.mgt.SecurityManager,而编译器默认会使用 java.lang.SecurityManager,需要手动导入。

import org.apache.shiro.mgt.SecurityManager;
@Configuration
public class ShiroConfiguration {

    @Autowired
    DefaultAuthorizingRealm realm;

    /**
     * 生成一个随机值用户 JWT 的加密
     * 
     * @return 用于 JWT 加密的随机值
     */
    @Bean
    public String secret() {
        return UUID.randomUUID().toString();
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        /* 定义过滤器链 */
        LinkedHashMap<String, String> filterChain = new LinkedHashMap<>();
        /* 定义匿名用户即可访问的 URL,anon 意思是 anonymous */
        filterChain.put("/user/login", "anon");
        filterChain.put("/doc.html", "anon");
        filterChain.put("/**/**.js", "anon");
        filterChain.put("/**/**.css", "anon");
        filterChain.put("/swagger-resources/**", "anon");
        filterChain.put("/webjars/**", "anon");
        filterChain.put("/v2/**", "anon");
        /* jwt 必须放在最后 */
        filterChain.put("/**", "jwt");

        /* 添加 JWT 过滤器,并命名为 jwt */
        Map<String, Filter> filterMap = new HashMap<String, Filter>(1);
        filterMap.put("jwt", new JWTFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChain);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);

        /* 关闭shiro自带的session */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * 
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /**
     * 开启aop注解支持
     * 
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

SwaggerConfiguration

如果不需要前后端在线文档,可以跳过这一步。

@Configuration
@EnableSwagger2
@EnableSwaggerBootstrapUI
public class SwaggerConfiguration {

    public List<Parameter> globalOperationParameters() {
        List<Parameter> params = new ArrayList<Parameter>();
        Parameter parameter = new ParameterBuilder()
            .name("X-Token")
            .description("JSON Web Token")
            .modelRef(new ModelRef("string"))
            .parameterType("header")
            .required(false)
            .build();
        params.add(parameter);
        return params;
    }

    @Bean
    public Docket Api() {
        ApiInfo apiInfo = new ApiInfoBuilder()
            .build();
        return new Docket(DocumentationType.SWAGGER_2)
            .globalOperationParameters(globalOperationParameters())
            .apiInfo(apiInfo)
            .select()
            .apis(RequestHandlerSelectors.withClassAnnotation(Api.class))
            .paths(PathSelectors.any())
            .build();
    }
}

UserService

UserService 接口

public interface UserService {
    LoginVO login(LoginDTO loginDTO);
}

UserServiceImpl 实现类

@Service
public class UserServiceImpl implements UserService {

    @Autowired
    UserMapper userMapper;
    
    @Autowired
    String secret;

    @Override
    public LoginVO login(LoginDTO loginDTO) {
        UserDO user = userMapper
            .selectOne(new QueryWrapper<UserDO>().lambda().eq(UserDO::getUsername, loginDTO.getUsername()));
        /* (1) 判断用户名是否存在 */
        boolean exist = user != null;
        if (!exist) {
            throw new UnknownAccountException("用户名不存在");
        }

        /* (2) 判断密码是否错误 */
        boolean valid = user.getPassword().equals(loginDTO.getPassword());
        if (!valid) {
            throw new IncorrectCredentialsException("密码错误");
        }

        /* (3) 获取该 user 的角色 */
        String role = user.getRole();
        String token = JWT.create()
            .withClaim("username", user.getUsername())
            .withClaim("role", role)
            .withExpiresAt(DateUtil.offsetSecond(new Date(), 60))
            .sign(Algorithm.HMAC256(secret));
        LoginVO loginVO = new LoginVO();
        loginVO.setToken(token);
        return loginVO;
    }

}

创建 UserController

@RestController
@Api(tags = "用户管理")
public class UserController {

    @Autowired
    UserService userService;
    
    @PostMapping("/user/login")
    @ApiOperation("登录")
    public ResponseVO login(@RequestBody LoginDTO loginDTO) {
        return ResponseVO.success(userService.login(loginDTO));
    }
    
    @PostMapping("/echo")
    @ApiOperation("测试")
    @RequiresRoles(value = {"admin"})
    public ResponseVO echo() {
        return ResponseVO.success("SUCCESS");
    }
}

启动类

需要加上 Mybatis 的注解 MapperScan 进行 Mapper 的扫描

@SpringBootApplication
@MapperScan(basePackages = {"com.jiangchunbo.dao"})
public class StartEntry {

    public static void main(String[] args) {
        SpringApplication.run(StartEntry.class, args);
    }
}

测试

用户名不存在

密码错误

登录成功

登录成功之后返回 token

无权限访问

过期访问

罐装面包
关注
SpringBoot中使用ShiroJWT认证和鉴权(一)
菜鸟联盟
08-23 1万+
一,shirojwt区别 shiro是一套权限管理框架,包括认证授权等,在使用时直接写相应的接口就可以了,已经把底层处理都写好了,而jwt只是一种生成token的机制,所有权限处理逻辑还需要自己写。两者不是一个概念上的东西。 二,什么时候要用JWT 当我们要把服务器做成无状态时(即服务器端不会保存session),这里我们就可以用到JWTShiro就是基于session保持回话,我们可...
SpringBoot-shiro-JWT-Redis 现实登录用户角色授权
fcvtb的博客
07-26 403
转载 : spring-boot-shiro-jwt-redis实现登陆授权功能 ,https://github.com/it-wwh/sping-boot-shiro-jwt-redis 前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。 SpringBoot+JWT+Shiro+MybatisPlus项目架构的 , https://gith...
JWTshiro结合实现认证
最新发布
weixin_42564451的博客
09-04 607
JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的最大特点是它是自包含的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。Apache Shiro是一个强大且易用的Java安全框架,提供了认证授权、加密和会话管理功能。
java shiro jwt,Shiro+JWT 实现权限管理(一)--Shiro
weixin_42205158的博客
03-13 157
在之前的文章《权限框架Apache ShiroSpring Security》中有介绍一些权限框架,当时觉得Shiro功能比较强大,也比较适合管理后台不同粒度的权限控制.再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.经过搜索、研究发现一个新东西--JWT (JAVA WEB TOKEN),为了在网络应用环境声明而执行的一种基于 JS...
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 6499
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
springboot整合无状态shiro基本配置
yaoct的博客
12-05 326
<!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> shiro基本配置: package com.demo1.config; impo...
基于SpringBoot+Spring+SpringMvc+Mybatis+Shiro+Redis 开发点登录管理系统源码
06-19
基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发点登录管理系统 基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发点登录管理系统 基于 SpringBoot + Spring + ...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多门店等功能,更...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
Shiro框架是用于身份验证、授权和会话管理的安全框架,它在此系统中扮演着核心角色Shiro支持基于URL的权限拦截,这意味着可以为每个URL分配特定的访问权限,只有拥有相应权限的用户才能访问。这种方式提高了权限...
基于springboot+vue实现进销存管理系统前后端分离(springboot+vue+mybatis+JWT+shiro)
08-24
├─应收与收款 │ ├─应收管理 │ ├─预收管理 │ ├─收款管理 │ └─应收统计 ├─应付与付款 │ ├─应付管理 │ ├─预付管理 │ ├─付款管理 │ └─应付统计 ├─发票登记 ├─基础资料 ├─业务监控 ...
jwt无状态权限认证(pings-shiro-jwt)
zhouping118的博客
05-22 2305
pings-shiro-jwt 简介 pings-shiro-jwt是基于jwtshiro的无状态权限认证工具,可实现如下两种认证方式: access token无状态权限认证 原理 优点 实现简单 不外部依赖运行环境 如果多个系统之间用户信息和配置的secret相同,某个系统签发的token即可访问所有其它的任意系统 问题 如果token过期时间太短,则每次到期后,都需要用户重新登...
shiro无状态学习---(1)
qq_35267557的博客
12-12 1102
shiro无状态学习---(1) 第一个项目:实现禁用session 项目搭建:这里使用springboot作为基础搭建一个基础的springmvc框架 1、创建项目 这样,一个基本的spring boot就党建好了,访问 http://localhost:8080/hello?params1=你好&params2=世界,就会打印出 hello,xxx,params1=你好,
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7229
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
SpringBoot+Mybatis+Mybatis Plus+Shiro实现一个简单的项目架构
feritylamb的博客
08-07 1532
本节来使用SpringBoot+Mybatis+Mybatis Plus+Shiro实现简单的项目架构,主要实现的是使用Shiro进行登录验证和权限的验证,以下是实现的全过程,如果有不明白的地方可以下载代码示例:https://download.csdn.net/download/feritylamb/11490995 1、搭建一个SpringBoot项目,参考文章https://blog.cs...
sessionStorage用法注意事项
yuanlijiefengjuan的博客
03-06 4361
首先要初始化$(document).ready(function(){ initSessionStorage(); }); var storage; /** * 初始化sessionStorage */ function initSessionStorage() { if(!window.sessionStorage){ alert("浏览器不支持sessio...
SpringBoot 集成 Shiro 权限控制 开发 Restful API
weixin_38408945的博客
03-03 6007
shiro
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1927
前言 本文基于token进行身份认证,由于接入cas会和shiro的session管理冲突,所以关闭shiro的session,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
Shiro+SpringBoot】JWT+Shiro安全的解决用户授权认证地址过滤问题
芒果味的博客
12-05 691
JWT的应用场景 关于JWT是什么,可理解为使用带签名的token来做用户和权限验证,现在流行的公共开放接口用的OAuth 2.0协议基本也是类似的套路。这里只是说下选择使用jwt不用session的原因。 首先,是要支持多端,一个api要支持H5, PC和APP三个前端,如果使用session的话对app不是很友好,而且session有跨域攻击的问题。 Shir...
Spring Boot + Shiro + JWT:前后端分离权限管理实战
通过这些步骤,你已经成功实现了Spring Boot应用与ShiroJWT的集成,能够对用户进行身份验证,并基于角色分配权限。前端可以通过JWT在无状态的API请求中携带用户信息,后端则使用Shiro进行身份验证和授权。这将极大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罐装面包

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值