Shiro+JWT

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量1k 收藏 3
点赞数
文章标签: shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44000418/article/details/119677551
版权

Shiro+JWT


关于两大认证鉴权框架,springsecurity,shiro,确实瞎看些文章,眼花缭乱,用了一周的时间差不多了解了,学习过程中可谓晕头转向的,后面在谛听上看到shiro文章很好,又得到行内大佬指点一下(鉴权信息来源于认证),算是弄懂了shiro,然后也对springsecurity有了基本了解

继承BasicHttpAuthenticationFilter实现自定义JWTFilter

package com.fintech.abchina.config;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.util.Enumeration;

public class MyJWTFilter extends BasicHttpAuthenticationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.err.println("isAccessAllowed");

        HttpServletRequest request1 = (HttpServletRequest) request;
        String requestURI = request1.getRequestURI();
        System.err.println("requestURI = " + requestURI);
        if (requestURI.contains("login") || requestURI.contains("/js")) {
        //这里为了测试使用,写的不是很标准,作用就是释放登录和静态资源请求
            return true;
        } else {
            if (isLoginAttempt(request, response)) {
                try {
                    this.executeLogin(request, response);
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        }
        return false;
    }


    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        System.err.println("executeLogin");
        HttpServletRequest request1 = (HttpServletRequest) request;

        String token1 = request1.getHeader("token");;
        System.err.println("token1 = " + token1);

        JwtToken jwtToken = new JwtToken(token1);
        System.err.println("jwtToken = " + jwtToken);

        try {
            this.getSubject(request, response).login(jwtToken);
            //这里调用的其实就是ShiroRealm中的doAuthentication方法
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        return true;
    }

	//判断是否携带token,携带token则进行后续认证
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        System.err.println("isLoginAttempt");
        //顾名思义,这方法名不是代表登录吗,而现在后续认证,应该非首次登录
   
        HttpServletRequest request1 = (HttpServletRequest) request;
        String token1 = request1.getHeader("token");
        return token1 != null;
    }
}

继承AuthorizingRealm实现自己的Realm

package com.fintech.abchina.config;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.HashSet;
import java.util.Set;

/**
 * @Author: GQS
 * @Description:
 * @Date: 2021/8/12 17:18
 */
public class ShiroRealm extends AuthorizingRealm {

    //将shiro默认token修改为自定义的token
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    //授权(即用户访问有要求权限接口时获取要求权限,再在这里获取该角色具有哪些权限,由shiro进行比较 )
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //这个principalCollection是shiro根据认证方法返回的对象第一个参数提供的。
 		System.err.println("doGetAuthorizationInfo");
        System.out.println("principalCollection = " + principalCollection);
        System.out.println("看一下PrincipalCollection 使用的哪个实现类 " + principalCollection.getClass());
        
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        
        Set<String> roleSet = new HashSet<>();
        //实际这个是要根据principalCollection来查的
        roleSet.add("admin");
        simpleAuthorizationInfo.setRoles(roleSet);
        
        return simpleAuthorizationInfo;
        //返回权限后,就由shiro来进行用户该访问接口的权限判断啦。
        //应该是每次都要进行判断的,因为每次请求都要走到这里,多写一个ajax按钮来判断一下
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        System.err.println("doGetAuthenticationInfo");

        String token = "";
        try {
            token = (String) authenticationToken.getPrincipal();
        } catch (Exception e) {
            System.out.println("e.getMessage() = " + e.getMessage());
        }
        System.out.println("对token进行判断过期,是否为空等");
		//根据传进来token
        String username= JwtUtil.getUserNameByToken(token);
        System.out.println("根据username查询数据库User信息,再使用当初返回该token相同方式生成token1");
        String token_right= username+"";
        System.out.println("这里为了测试,直接省略具体生成方法");

        //第一个参数可以返回用户名,认证通过后用于鉴权。
        //根据前台提供的token信息按照规则(利用真是比如密码)生成一个新的token_right,由shiro进行两者的比较
        //即authenticationToken.getCredentials和token1进行比较。可以打断点进去查看的
        return new SimpleAuthenticationInfo("principal", token_right, "my_shiro_realm");
    }
}

实现AuthenticationToken接口,实现自定义的token

需要在自定义Realm这里叫ShiroRealm进行配置

package com.fintech.abchina.config;

import lombok.Data;
import org.apache.shiro.authc.AuthenticationToken;
import java.io.Serializable;

@Data
public class JwtToken implements AuthenticationToken {

    private String token;
    private String expireAt;

    public JwtToken(String token) {
        this.token = token;
        this.expireAt="time";
    }

    @Override
    public Object getPrincipal() {
        return token;
    }
    
    @Override
    public Object getCredentials() {
        return token;
    }
}

配置类配置,将类进行绑定

package com.fintech.abchina.config;

import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.context.request.RequestContextListener;
import javax.servlet.Filter;
import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {

    //这里测一下是否一定要将MyJwtFilter加入到shiro过滤器链中  -是的,不加不执行
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //在shiro过滤器链上加入MyJwtFilter,不加入不会执行。
        LinkedHashMap<String, Filter> filters = new LinkedHashMap<>();
        filters.put("jwt", new MyJWTFilter());
        shiroFilterFactoryBean.setFilters(filters);

        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //过滤器链定义,由上到下执行
        filterChainDefinitionMap.put("/**", "jwt");
        //这个和前面对应
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getShiroRealm());
        return securityManager;
    }

    //将自定义Realm加入到Spring环境中
    @Bean
    public ShiroRealm getShiroRealm() {
        return new ShiroRealm();
    }

    //用于鉴权时候使用的
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

	//配置鉴权生效的(具体不清楚)
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

	//暂时不清楚
    @Bean
    public RequestContextListener requestContextListener() {
        return new RequestContextListener();
    }
}

异常处理

有个很重要思想就是shiro内部异常由shiro拦截,我们只能捕获最上层异常

package com.fintech.abchina.config;

import org.apache.shiro.authc.CredentialsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authz.UnauthenticatedException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

import java.util.HashMap;
import java.util.Map;

@RestControllerAdvice
public class ControllerAdvice {
    
    @ExceptionHandler(ShiroException.class)
    Map handleShiroException(ShiroException e) {
        System.err.println("e.getClass() = " + e.getClass());
        HashMap<String, String> resultMap = new HashMap<>();
        if (e instanceof UnauthenticatedException) {
            System.out.println("认证异常");
            resultMap.put("msg", "认证异常");
        } else if (e instanceof UnauthorizedException) {
            System.out.println("权限异常");
            resultMap.put("msg", "权限异常");
        } else {
            System.out.println("其他异常");
            resultMap.put("msg", "其他异常");
        }
        return resultMap;
    }

}

很重要的思想

1.通过了自定义jwtfilter的isAccessAllowed返回true即登录和静态资源无需后面认证
2.Realm是由自定义的jwtfilter调用
3.授权和认证都有shiro自己完成,我们在认证和授权里需要做的就是返回信息
4.授权的用户信息通过认证返回的类获得,即先认证后授权

静以致远,戒骄戒躁
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Shiro+Jwt+Redis
qq_43907296的博客
05-27 722
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
基于JWTShiro 做接口权限认证
Karka_的博客
06-20 620
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
整合Shiro+Jwt
qq_57747969的博客
09-19 484
整合Shiro+Jwt大致思路
权限控制Shiro+JWT
qq_37466787的博客
04-12 352
2、DefaultWebSecurityManager:可AI查下概念,我的解读是为了我可以使用ShiroFilterFactoryBean定义我的url而存在。解:标识这个Realm是专门用来验证JwtToken,不负责验证其他的token(UsernamePasswordToken)1、Realm:定义自己逻辑,比如这个地方你可去关联你的userService去查询个人角色信息,给框架返回一个角色列表。解:获取上个方法传递的参数,进行权限分类(不想每次都去查db,于是引入了mysql)
Shiro+Jwt总结
m0_51433562的博客
03-19 8814
ShiroJWT整合实现用户的认证和授权
Shiro + JWT权限验证
qq_53021270的博客
11-12 2122
1、什么是Shiro Shiro是Java领域非常知名的认证( Authentication )与授权 ( Authorization )框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什 么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security
SpringBoot整合Shiro+Jwt
Amber_Flying的博客
08-28 1725
springboot整合shiro+jwt 学习博客链接:https://blog.csdn.net/wws_p/article/details/107126321(万分感谢) 一、搭建数据库环境 CREATE DATABASE `shiro`; USE `shiro`; DROP TABLE IF EXISTS `role_per`; CREATE TABLE `role_per` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '表主键
shiro+jwt登陆验证
weixin_48895167的博客
04-25 4191
springboot+shiro+jwt实现用户登录验证
SpringBoot+Shiro+JWT+Redis+Mybatis-plus 前后端分离实战项目
jmu201821122110
04-24 9304
文章目录前言JWT学习总结什么是JWTJWT的结构?JWT整合SpringBoot的依赖JWT核心代码配置JWTUtilJWT拦截器全局拦截器配置登陆成功的时候生成JWT token 返回给前端前端如何利用 JWT token项目源码(CodeChina平台)踩过的坑项目运行总结 前言 这篇博客是在我上篇发的 SpringBoot+Shiro+Redis+Mybatis-plus 实战项目 之上添加了JWT认证和前后端分离,所以这篇博客重点是贴出 JWT 学习总结的代码,希望可以帮助到大家! JWT.
springboot + shiro + jwt权限验证
u012203062的博客
02-28 652
springboot + shiro + jwt权限验证快速实践
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
本项目结合了Apache Shiro、JSON Web Token (JWT)、SpringBoot、MySQL数据库以及Redis缓存技术(通过Jedis客户端)来实现这一机制。下面我们将详细探讨这些组件在实现无状态鉴权中的作用。 **Apache Shiro** Apache...
PPO算法,即Proximal Policy Optimization(近端策略优化).pdf
08-05
PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广泛应用的策略梯度方法。由OpenAI在2017年提出,PPO旨在解决传统策略梯度方法中策略更新过大导致的训练不稳定问题。它通过引入限制策略更新范围的机制,在保证收敛性的同时提高了算法的稳定性和效率。 一、PPO算法简介 PPO算法的核心思想是通过优化一个特定的目标函数来更新策略,但在这个过程中严格限制策略变化的幅度。具体来说,PPO引入了裁剪(Clipping)和信赖域(Trust Region)的概念,以确保策略在更新过程中不会偏离太远,从而保持训练的稳定性。 二、PPO算法的主要变体 PPO算法主要有两种变体:裁剪版(Clipped PPO)和信赖域版(Adaptive KL Penalty PPO)。其中,裁剪版PPO更为常见,它通过裁剪概率比率来限制策略更新的幅度,而信赖域版PPO则使用KL散度作为约束条件,并通过自适应调整惩罚系数来保持策略的稳定更新。PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广
GC032A datasheet(侵删)
最新发布
08-05
GC032A datasheet(侵删)
opencv的概要介绍与分析
08-05
OpenCV (Open Source Computer Vision Library) 是一个开源的计算机视觉和机器学习软件库。它提供了大量的算法和函数,可用于图像处理、视频分析、特征检测、对象识别等多种应用。下面是一些关于 OpenCV 的资源描述,帮助您学习和使用这项强大的技术。 ### OpenCV 资源描述 #### 1. **官方文档和GitHub仓库** - **GitHub 仓库**:OpenCV 的官方 GitHub 仓库是获取最新代码、预训练模型、开发指南和示例代码的地方。这是了解 OpenCV 最新进展和功能的最佳起点。 - **官方文档**:OpenCV 的官方文档包含了详细的使用说明、API 参考和常见问题解答。 #### 2. **在线教程和课程** - **Codecademy**:Codecademy 提供了互动式的 OpenCV 课程,适合完全的新手。 - **freeCodeCamp**:freeCodeCamp 是一个非营利性组织,提供免费的编码课程,包括 OpenCV 基础。 #### 3. **书籍** - **《Learning
shiro + JWT
07-27
ShiroJWT是两个不同的技术,可以结合使用来实现认证和授权功能。 Shiro是一个Java领域非常知名的认证和授权框架,用于替代JavaEE中的JAAS功能。相较于其他框架,Shiro设计简单,适用性广泛。任何JavaWeb项目都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值