认证授权示例——JWT及Shiro

最新推荐文章于 2024-09-03 22:17:36 发布
最新推荐文章于 2024-09-03 22:17:36 发布
阅读量2.9k 收藏 8
点赞数 2
分类专栏: Java SpringBoot 文章标签: 认证授权 JWT Shiro Springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43792385/article/details/99310970
版权
本文介绍了常见的认证机制,包括HTTP Basic Auth、Cookie Auth、OAuth和Token Auth,重点讲解了JWT(JSON Web Token)的原理和实现,包括JWT的组成部分、快速入门、自定义claims以及签名过程。此外,还阐述了Shiro安全框架的基本概念,包括其功能模块、内部结构以及如何在应用程序中使用Shiro进行认证授权。文中提供了详细的JWT和Shiro的示例,包括登录、鉴权和自定义Realm的实现。
摘要由CSDN通过智能技术生成

1、常见的认证机制

1.1 HTTP Basic Auth

HTTP Basic Auth简单点说明就是每次请求API时都提供用户的usernamepassword,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth

1.2 Cookie Auth

Cookie认证机制就是为一次请求认证在服务端创建一个Session对象,同时在客户端的浏览器端创建了一个Cookie对象;通过客户端带上来Cookie对象来与服务器端session对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie会被删除但可以通过修改cookie 的expire time使cookie在一定时间内有效。

1.3 OAuth

OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一web服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。这种基于OAuth的认证机制适用于个人消费者类的互联网产品,如社交类APP等应用,但是不太适合拥有自有认证权限管理的企业应用。
在这里插入图片描述

1.4 Token Auth

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
    在这里插入图片描述
    Token Auth的优点:
    支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输;
    无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息;
    更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可;
    去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可;
    更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多;
    CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范;
    性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多;
    不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理;
    基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby,Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft)。

2、 JWT实现认证授权

2.1 什么是JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。在Java世界中通过JJWT实现JWT创建和验证。
JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:aa.bb.cc

  • Header
    头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)
{
  "alg": "HS256",
  "typ": "JWT"
}

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分(aa)。

  • Payload
    第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分(bb)。
{
  "sub": "1234567890",
  "name": "456",
  "admin": true
}
  • Signature
    第三部分是签名,此部分用于防止jwt内容被篡改。这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明签名算法进行签名。HMACSHA256(aa+ “.” +bb, secret)其中secret签名所使用的密钥或者说盐。
2.2 JWT的快速入门
2.2.1 token的创建

(1)引入依赖

<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.6.0</version>
</dependency>

(2)创建类JWTAuthApplicationTest,测试生成token

public static void createJwt() {
   
		JwtBuilder builder = Jwts.builder().setId("666").setSubject("君莫笑").setIssuedAt(new Date())
				.signWith(SignatureAlgorithm.HS256, "qqxhb");
		System.out.println(builder.compact());
	}

token:

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlkJvojqvnrJEiLCJpYXQiOjE1NjU2MDA0NTR9.gnq6RX6FRj748f9voVPgc81wBuWRyvKl1gODMPqU9S8
2.2.2 token的解析

我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token 应该解析出token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。

public static void parseJwt(String token) {
   
		Claims claims = Jwts.parser().setSigningKey("qqxhb").parseClaimsJws(token).getBody();
		System.out.println("id:" + claims.getId());
		System.out.println("subject:" + claims.getSubject());
		System.out.println("IssuedAt:" + claims.getIssuedAt());
	}

parseResult:

id:666
subject:君莫笑
IssuedAt:Mon Aug 12 17:06:24 CST 2019
2.2.3 自定义claims

我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims
(1) 修改createJwt,并存储角色头像内容
java

 public static String createJwt() {
		long exp = System.currentTimeMillis() + 60 * 1000;// 过期时间一分钟
		JwtBuilder builder = Jwts.builder().setId("666").setSubject("君莫笑").setIssuedAt(new Date())
				.signWith(SignatureAlgorithm.HS256, "qqxhb")
				.setExpiration(new Date(exp))
				.claim("role", "admin")
				.claim("logo", "logo.png");
		return builder.compact();
	}

(2) 修改parseJwt,获取角色头像内容

public static void parseJwt(String token) {
   
		Claims claims = Jwts.parser().setSigningKey("qqxhb").parseClaimsJws(token).getBody();
		System.out.println("id:" + claims.getId());
		System.out.println("subject:" + claims.getSubject());
		System.out.println("role:" + claims.get("role"));
		System.out.println("logo:" + claims.get("logo"));
		SimpleDateFormat sdf=new SimpleDateFormat("yyyy-MM-dd hh:mm:ss");
		System.out.println("签发时间:"+sdf.format(claims.getIssuedAt()));
        System.out.println("过期时间:"+sdf.format(claims.getExpiration()));
        System.out.println("当前时间:"+sdf.format(new Date()) );
	}

parseResult:

id:666
subject:君莫笑
role:admin
logo:logo.png
签发时间:2019-08-12 05:15:48
过期时间:2019-08-12 05:16:48
当前时间:2019-08-12 05:15:49
2.3 抽取JWT工具类
import java.util.Date;
import java.util.Map;

import org.springframework.boot.context.properties.ConfigurationProperties;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

@ConfigurationProperties("jwt.config")
public class JwtUtil {
   
	private String key;
	private long ttl;

	public String getKey() {
   
		return key;
最低0.47元/天 解锁文章
qqxhb
关注
专栏目录
Shiro结合JWT实现单点登录
睁眼看世界
11-27 2万+
简述Apache Shiro是java的一个安全框架,Shiro可以帮助我们完成认证授权、加密、会话管理、与Web集成、缓存等。而且Shiro的API也比较简单,这里我们就不进行过多的赘述,想要详细了解Shiro的,推荐看开涛的博客(点这里)在Shiro的强大权限管理的基础上,我们实现单点登录就容易了很多,结合我上篇博客所讲的JSON Web Token(推荐先看这篇博客)就可以完成单点登录系统。
JWT授权认证示例
卢卢在路上
06-28 288
代码】JWT授权认证示例
JWT详细解析
m0_65224643的博客
07-30 2560
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Springboot+JWT+Shiro集成完全版(带测试示例
洛雪
05-24 882
相信大家已经对shirojwt有基本的概念了,不熟悉的可以看下 jwt:https://blog.csdn.net/Goligory/article/details/104400381 对于shiro等会我贴上代码然后简单分析下 maven引入 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-s...
shiro+jwt进行认证授权的解决方案代码实例
qq_41358574的博客
12-01 4728
文章目录token类自定义realm自定义的jwtFilter用于访问拦截:shiroconfigcontrollervo对象测试 jwtshiro框架就不多介绍了,直接上实例代码吧。目前测试可正常登录、获得用户角色、访问接口时根据@requireRoles进行拦截。 token类 import org.apache.shiro.authc.AuthenticationToken; //一般的登陆只需要校验账号和密码两个要素,默认的UsernamePasswordToken就能满足需求 //这个就类似U
springboot+JWT+Shiro教程整理
浮梦一场
09-01 751
Shiro + JWT + Spring Boot Restful 简易教程https://github.com/Smith-Cruise/Spring-Boot-Shiro?spm=a2c4e.10696291.0.0.683e19a4WCruMW SSM整合shiro实现多用户表多Realm统一登录认证https://blog.csdn.net/visket2008/article...
快速上手Shiro—Java认证授权框架
03-19 6505
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
SpringBoot开发——整合 JWT 轻松搞定跨站点统一登录
最新发布
bjzhang75的博客
09-03 802
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。但是,假如应用服务器的请求量变得很大,而单台服务器能支撑的请求量是有限的,这个时候就容易出现请求变慢或者OOM。中获取用户的基本信息,既然客户端可以获取,肯定是不能存放敏感信息的,因为浏览器可以直接从token获取用户信息。
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
猿码天地
03-26 224
我是猿人,一个热爱技术、热爱编程的IT猿。技术是开源的,知识是共享的!写作是对自己学习的总结和记录,如果您对 Java、分布式、微服务、中间件、Spring Boot、Spring Clo...
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3969
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
基于JWTShiro 做接口权限认证
ewii12567的博客
07-24 1177
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 7497
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
Shiro 整合jwt
03-09 716
前言 之前在学习完Jwt之后得相关之后,开始想着Jwtshiro整合。进入了编码得环节才发现其实并没有那么简单。好了现在就开始记录一下吧。 当然这个整合过程会有一些bug,如果此时你看到了这篇文章,自己也想去整合一下shrio和jwt,那样不妨留下一个评论,多多讨论一下。这样也能大家都能学到一些知识。 技术栈 Shiro Jwt 由于是一个Springboot项目,还需要了解Springboot相关得知识。 编码 1、导入shirojwt依赖 <!-- 配置 Shiro --> <de
shiroJWT
m0_54853420的博客
04-07 1152
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
图解Jwtshiro认证方式的区别
NSX-Truth
10-05 5589
Jwt认证方式 用户进行登录中,访问微服务中Controller层的登录方法,若认证通过,生成Token(包含用户数据和权限),返回token信息到前端浏览器,然后,前端那边的代码会记录token,使得再去访问微服务的方法时,请求头都会包含token,然后,后端会解析token,校验token和操作权限,值得注意的是整个过程都不记录用户的任何数据,是一个无状态的服务! shiro认证方式 用户登录后,交给后端自定义的Realm域,进行用户名和密码的认证比较,认证通过会产生一个以SessionId为ke.
spring boot整合shiro+jjwt
weixin_42755909的博客
08-05 8706
前言 本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token) JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : ...
Shiro整合JWT
m0_67391270的博客
03-28 1449
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值