Java二阶知识点总结(九)Shiro和JWT

已于 2024-03-27 17:31:16 修改
阅读量852 收藏 18
点赞数 14
分类专栏: Java二阶知识点总结 文章标签: java 开发语言
于 2024-03-26 15:10:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44648936/article/details/137008190
版权

1、Shiro的三个核心组件

  • Subject:正与系统进行交互的人,或某一个第三方服务。所有 Subject 实例都被绑定到一个SecurityManager 上,其实就是用于获取外部数据的主体。
  • SecurityManager:Shiro 架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务,负责和Shiro其他组件交互
  • Realm:shiro 是从 Realm 来获取安全数据(用户,角色,权限)。就是说 SecurityManager要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据 源。

2、Shiro的运行流程

  • 首先调用Subject.login(token)进行登录,他会委托给SecurityManager
  • SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
  • Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有就返回认证失败,有的话就继续执行操作。

3、Shiro认证策略

  • AtLeastOneSuccessfulStrategy:只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功
  • FirstSuccessfulStrategy:第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略
  • AllSuccessfulStrategy:所有 Realm 成功,认证才视为成功
  • 认证策略默认实现是 AtLeastOneSuccessfulStrategy 方式

5、JWT、cookie、session和token

  • JWT:JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
    简单说一下JWT、Cookie、Session和Token之间的联系:
  • 首先,Cookie可以被认为是将用户信息存储在客户端
  • 但这种方法不安全,所以出现了Session,也就是将用户信息存储在服务端,然后客户端通过双方约定的Token来确认是服务端中的哪个用户信息
  • 但后来出现了分布式服务器,这样就可能导致服务器并没有存储已登录的Session,所以出现了JWT,可以简单理解为将用户信息编码存储在客户端,随请求一起发送到服务端,服务端通过密钥验证判断是不是自己发出去的信息

6、JWT的三部分

  • Header:包含算法名称和token的类型,如下
{
    'alg': "HS256",
    'typ': "JWT"
}
  • Payload:是关于实体(通常是用户)和其他数据的信息,如下
{
    "sub": '1234567890',
    "name": 'john',
    "admin":true
}
  • Signature:签名,用于验证消息在传递过程中有没有被更改

7、整合Shrio和JWT

8、基于JWT技术的单点登录(SSO)

单点登录:一次登录后可免登陆访问其他的可信平台,例如登录百度后可直接访问百度文库等旗下网站

1. 用户登录流程

  • 用户认证:用户首先访问SSO系统中的一个应用,并输入用户名和密码进行登录。
  • 生成JWT:认证服务器验证用户的凭据。一旦认证成功,服务器将生成一个JWT,其中包含用户的身份信息(如用户ID)和其他声明(如角色、权限等),但不包含敏感信息。
  • JWT签名:JWT通常使用HS256、RS256或ES256等算法进行签名,以确保其不可篡改性和可信度。
  • 发送JWT:认证服务器将JWT作为响应的一部分发送给客户端(用户的浏览器)。
  • 存储JWT:客户端将JWT存储在本地存储(如localStorage或sessionStorage)或HTTP Cookie中。

2、访问其他应用

  • 携带JWT:当用户尝试访问SSO系统中的另一个应用时,客户端会在HTTP请求的Authorization头部携带JWT(通常以Bearer Token的形式)。
  • 验证JWT:目标应用的服务器接收到请求后,会验证JWT的签名以确保其有效性,并解析JWT中的信息来识别用户。
  • 授权访问:如果JWT验证成功,应用服务器将根据JWT中的信息授予用户相应的访问权限,而无需再次要求用户登录。

3、JWT刷新

  • 检查过期时间:JWT通常有一个过期时间(exp),应用服务器在验证JWT时会检查这个字段。
  • 刷新令牌:如果JWT接近过期或已经过期,客户端可以发送刷新请求到认证服务器,获取新的JWT。这通常涉及到另一个令牌(refresh token),它具有较长的有效期。

4、退出登录

  • 清除JWT:当用户希望退出登录时,客户端需要清除存储的JWT,并可能需要通知所有相关应用服务器删除用户的会话信息。

参考

奥妙无穹
关注
  • 14
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5721
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
SpingBoot整合ShiroJWT
weixin_46648650的博客
03-14 5901
SpingBoot整合ShiroJWT 项目地址:https://github.com/seam95/SpringBoot-Shiro-Jwt.git Shiro学习知识点 Authentication:身份认 证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Management:会话管
shiroshiro整合JWT——2.如何整合
kevin的博客
06-02 1351
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,我们知道了需要创建JwtToken、JwtUtil、JwtFilter。该篇主要讲如何在shiro框架中,配置Jwt。ps:本文主要以记录核心思路为主。
Shiro+Jwt总结
m0_51433562的博客
03-19 8777
ShiroJWT整合实现用户的认证和授权
Shiro + JWT权限验证
qq_53021270的博客
11-12 2090
1、什么是Shiro ShiroJava领域非常知名的认证( Authentication )与授权 ( Authorization )框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什 么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security
Java专题_01】springboot+Shiro+Jwt整合方案
weixin_40736233的博客
04-02 1万+
Java专题_01】springboot+Shiro+Jwt整合方案
Shiro框架和JWT
市民景先生
07-11 2443
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
shiroJWT
m0_54853420的博客
04-07 1130
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
Java知识体系最强总结(2021版)
热门推荐
ThinkWon的博客
12-18 109万+
更新于2019-12-15 10:38:00 本人从事Java开发已多年,平时有记录问题解决方案和总结知识点的习惯,整理了一些有关Java的知识体系,这不是最终版,会不定期的更新。也算是记录自己在从事编程工作的成长足迹,通过博客可以促进博主与阅读者的共同进步,结交更多志同道合的朋友。特此分享给大家,本人见识有限,写的博客难免有错误或者疏忽的地方,还望各位大佬指点,在此表示感激不尽。 文章目录...
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot集成ShiroJwt和Redis,使用MyBatisPlus框架实现后台数据库操作。
febs_shiro_jwt-master_java_;shirojwt_
10-04
基于springboot,shirojwt的后台管理系统
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token)
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
简单的项目部署脚本(转载)
u010230019的博客
06-09 673
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
m0_74100417的博客
06-09 1522
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 499
修改菜品——后端Java
Spring Boot集成antlr实现词法和语法分析
最新发布
HBLOG
06-13 845
Antlr4 是一款强大的语法生成器工具,可用于读取、处理、执行和翻译结构化的文本或二进制文件。基本上是当前 Java 语言中使用最为广泛的语法生成器工具。Twitter搜索使用ANTLR进行语法分析,每天处理超过20亿次查询;Hadoop生态系统中的Hive、Pig、数据仓库和分析系统所使用的语言都用到了ANTLR;Lex Machina将ANTLR用于分析法律文本;Oracle公司在SQL开发者IDE和迁移工具中使用了ANTLR;NetBeans公司的IDE使用ANTLR来解析C++;
springcloud 整合shirojwt
03-16
Spring Cloud可以与ShiroJWT进行整合,实现安全认证和授权功能。 Shiro是一个强大的Java安全框架,可以提供身份验证、授权、加密和会话管理等功能。Spring Cloud可以通过集成Shiro来实现安全认证和授权功能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值