Shiro自定义Token

已于 2022-03-11 09:56:37 修改
阅读量3k 收藏 17
点赞数 1
分类专栏: Shiro 文章标签: shiro java spring boot
于 2021-08-10 14:29:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40675243/article/details/119566748
版权

Shiro自定义Token

1. 序言

  • 用户登录检验需要校验多个要素,不只有用户名和密码
  • 比如需要验证公司ID,主机IP,等等

2. shiro中Token的结构

Shiro中Token的继承结构图:

Shiro中Token继承结构图

  • AuthenticationToken接口类只包含获取用户的身份信息和凭证信息两个方法。

    • Object getPrincipal();

    • Object getCredentials();

  • HostAuthenticationToken接口类继承自AuthenticationToken接口,额外添加了获取主机地址方法。

    • String getHost();

  • RememberMeAuthenticationToken接口类继承自AuthenticationToken接口,额外添加了是否记住用户的布尔方法

    • boolean isRememberMe();

!所以,若想重写Token,只需要实现AuthenticationToken接口,然后添加自己需要添加的字段就可以了。

3. 自定义Token

/**
 * @Author: Hjx
 * @Date: 2021/8/10 11:17
 */
public class JWTToken implements AuthenticationToken {
    /**
     * 公司ID
     */
    String companyId;
    /**
     * 用户名称
     */
    String userName;
    /**
     * 用户密码
     */
    String userPass;
    
    public JWTToken(String companyId, String userName, String userPass) {
        this.companyId = companyId;
        this.userName = userName;
        this.userPass = userPass;
    }

    public void setCompanyId(String companyId) {
        this.companyId = companyId;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public void setUserPass(String userPass) {
        this.userPass = userPass;
    }

    public String getCompanyId() {
        return companyId;
    }

    public String getUserName() {
        return userName;
    }

    public String getUserPass() {
        return userPass;
    }

    @Override
    public Object getPrincipal() {
        return getUserName();
    }

    @Override
    public Object getCredentials() {
        return getUserPass();
    }
}

4. 重写supports方法

因为是自己定义的Token,shiro无法识别,需要修改Realm中的supports方法,使 shiro 支持自定义token。

/**
 * 重写supports方法,使 Shiro 能够识别自定义的 Token
 * @param token
 * @return
 */
@Override
public boolean supports(AuthenticationToken token) {
    return token instanceof JWTToken;
}

5. 修改认证方法doGetAuthenticationInfo

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    // 从 token 中获取用户输入的身份凭证
    JWTToken jwtToken = (JWTToken) token;
    String userName = (String)jwtToken.getPrincipal();

    // 模拟从数据库查询出的用户名和密码
    String name = "hjx";
    String pass = "1a0f1aac48cf23ffb080673fd60b5d2d";
    // 盐值
    String credentialsSalt = "hjx";
    String companyId = "100000";

    // 对companyId进行判断
    if (!companyId.equals(jwtToken.getCompanyId())){
        try {
            throw new Exception("公司ID不符!!!");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    if (name.equals(userName)){
        /*
            SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
            参数1:用户名
            参数2:md5加密后的密码
            参数3:盐值,类型为ByteSource,需要进行格式转换
            参数4:自定义realm的名称
         */
        return new SimpleAuthenticationInfo(name, pass, ByteSource.Util.bytes(credentialsSalt), this.getName());
    }
    return null;
}

6. 修改登录验证

/**
 * @Author: Hjx
 * @Date: 2021/8/10 11:43
 */
public class TestJWTAuthenticator {
    public static void main(String[] args) {
        // 创建SecurityManager安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        // 给SecurityManager设置自定义Realm
        JWTRealm jwtRealm = new JWTRealm();

        // 设置md5 凭证适配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 设置加密方式
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置散列次数
        hashedCredentialsMatcher.setHashIterations(1024);
        jwtRealm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(jwtRealm);
        // 给安全工具类SecurityUtils 设置 SecurityManager
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 通过安全工具类SecurityUtils获取 主体subject
        Subject subject = SecurityUtils.getSubject();

        // 创建Token,模拟接收前端用户输入的用户名和密码
        String userName = "hjx";
        String userPass = "123";
        String companyId = "100000";
        JWTToken jwtToken = new JWTToken(companyId,userName,userPass);

        try {
            System.out.println("认证状态 : "+subject.isAuthenticated());
            subject.login(jwtToken);
            System.out.println("认证状态 : "+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

    }
}

7. 附完整的自定义Realm

/**
 * @Author: Hjx
 * @Date: 2021/8/10 11:25
 */
public class JWTRealm extends AuthorizingRealm {

    /**
     * 重写supports方法,使 Shiro 能够识别自定义的 Token
     * @param token
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        /*
            PrincipalCollection 身份的集合
            一个主体可以有多个身份,但是只有一个主身份
         */
        // 获取主体的主身份
        String principal = (String) principals.getPrimaryPrincipal();
        System.out.println("主身份信息"+principal);

        // 模拟根据用户的身份信息 从数据库中查询其角色信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        // 模拟从数据库查询权限信息,赋值给某个对象
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create:01");

        return simpleAuthorizationInfo;
    }


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从 token 中获取用户输入的身份凭证
        JWTToken jwtToken = (JWTToken) token;
        String userName = (String)jwtToken.getPrincipal();

        // 模拟从数据库查询出的用户名和密码
        String name = "hjx";
        String pass = "1a0f1aac48cf23ffb080673fd60b5d2d";
        // 盐值
        String credentialsSalt = "hjx";
        String companyId = "100000";

        // 对companyId进行判断
        if (!companyId.equals(jwtToken.getCompanyId())){
            try {
                throw new Exception("公司ID不符!!!");
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        if (name.equals(userName)){
            /*
                SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
                参数1:用户名
                参数2:md5加密后的密码
                参数3:盐值,类型为ByteSource,需要进行格式转换
                参数4:自定义realm的名称
             */
            return new SimpleAuthenticationInfo(name, pass, ByteSource.Util.bytes(credentialsSalt), this.getName());
        }
        return null;
    }
}

代码及资料地址:hjx: 知道的越多,越发觉自己的无知 (gitee.com)

萝卜7
关注
专栏目录
shiro+token的演示文档
08-24
自定义 Token 类是为了扩展 Shiro 的默认 Token,包含 JWT 相关信息。过滤器链则定义了哪些 URL 需要进行身份验证,以及使用哪种类型的过滤器(如 `authc` 过滤器用于处理身份验证)。 在实际应用中,你可能还需要...
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5090
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3396
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
SpringbootShiro+Token使用redis做安全认证方案
程序员闪充宝
03-15 1万+
以前项目中权限认证没有使用安全框架,都是在自定义 filter 中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring securi...
008-shiro使用token认证
这个需求,做不了
05-25 8555
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
shiro - 使用 token
bhegi_seg的博客
03-28 1294
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
springboot整和jwt、shiro、redis实现token自动刷新
08-19
Spring Boot中集成Shiro,我们可以通过编写自定义的Realm,对接JWT的验证逻辑,使得Shiro能够理解和处理JWT令牌。 Redis是一个高性能的键值数据库,可以作为缓存存储JWT令牌。将JWT存储在Redis中,一方面可以减少...
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
本实例将通过自定义Realm来演示如何使用Shiro从数据库中查询数据进行用户验证。 首先,我们需要了解 Realm 的基本概念。在Shiro中, Realm 是一个接口,它实现了认证和授权的功能。默认的 Realm 类型包括 JdbcRealm...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
在使用 Spring Boot 集成 Shiro 时,需要自定义一个 JwtTokenFilter 过滤器来统一对 Token 进行过滤。期间遇到了两个问题:JwtTokenFilter 无法使用 @Autowired 和 anon 过滤器失效。 二、问题一:JwtTokenFilter ...
springboot-shiro
08-01
3. 创建Realm:自定义 Realm 类,继承自 `AuthorizingRealm`,实现用户的认证和授权逻辑。 4. 配置Filter:在`WebSecurityConfig`类中配置Shiro Filter,包括登录页面、拦截规则等。 5. session过期时间设置:在...
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 5875
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为tokenShirotoken的实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用.
shiroshiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 3144
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token的刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
springboot使用shiro完成token认证
lovely960823的博客
03-15 2712
现在都是token无状态的认证,今天记录一下如何使用shiro完成token登录认证,话不多说,直接上代码 依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </depend
解决前后端分离 Shiro 的用户 Token 认证问题
weixin_44338092的博客
04-17 774
【代码】解决前后端分离 Shiro 的用户 Token 认证问题。
Shiro实现Token认证
梅子黄时雨
05-10 1493
shiro使用
springboot集成shiro完成token认证,以及需要注意的点
最新发布
qq_26112725的博客
08-24 1784
注意 :继承 UsernamePasswordToken 类后,账号跟密码使用了 UsernamePasswordToken 类的构造方法2.自定义Realm@Override//授权@Override/*常见的方法:addRole(String role):向授权信息中添加角色。addRoles(Collection roles):向授权信息中添加多个角色。
token,Shiro
qq_41981122的博客
11-03 715
token 1.令牌,临时的意思,用作标记.一般作为邀请,登录系统使用. 2.token服务器端产生,客户端频繁像服务器请求数据,服务端频繁和数据库操作,做出相应的提示,在这样的背景下,引入token 3.Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 为什么要用 Token? 解决问题: Token 完全由应用管理,所以它可以避开同源策略 ...
生成一个shiro自定义Realm的代码
03-31
以下是一个简单的Shiro自定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值