Shiro+JWT实现认证和授权

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量893 收藏 1
点赞数 1
分类专栏: SpringBoot项目 文章标签: java redis JWT Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44759750/article/details/123441746
版权

流程:

1、将token(JWT生成和验证)封装成认证对象(使用ThreadLocal保证线程安全)
在这里插入图片描述
2、定义认证与授权的实现方法(Realm类)
3、拦截HTTP请求,验证Token(Filter)
- 验证token合法性,判断是否过期,若客户端token过期,redis中的未过期则重新生成token反之重新登录。
4、把设置应用到Shiro框架(创建ShiroConfig回传四个对象)
在这里插入图片描述
5、 回传token:使用AOP拦截Web对象返回方法,从ThreadLocalToken中获取token写入返回对象,然后返回。
在这里插入图片描述

在这里插入图片描述
代码实现

JWT加密和验证token

/**
 * JWT对userId进行加密生成token
 * 生成token、从token中获得userId、验证token的合法性
 */
@Component
public class JwtUtil {
    @Value("${emos.jwt.secret}")
    private String secret;
    @Value("${emos.jwt.expire}")
    private int expire;
    @Value("${emos.jwt.cache-expire}")
    private String cacheExpire;

    //使用userId创建token
    public String creatToken(int userId){
        //计算偏移5天(expire)后的数据
        Date date=DateUtil.offset(new Date(), DateField.DAY_OF_YEAR,expire);
        //创建算法对象
        Algorithm algorithm=Algorithm.HMAC256(secret);
        JWTCreator.Builder builder= JWT.create();
        //加密
        String token=builder.withClaim("userId",userId).withExpiresAt(date).sign(algorithm);
        return token;
    }
    //从token中获取userId
    public int getUserId(String token){
        //创建一个解码对象
        DecodedJWT jwt=JWT.decode(token);
        int userId=jwt.getClaim(token).asInt();
        return userId;
    }
    //验证token是否合法
    public void verifierToken(String token){
        //创建算法对象
        Algorithm algorithm=Algorithm.HMAC256(secret);
        //构造验证对象
        JWTVerifier verifier=JWT.require(algorithm).build();
        //验证token,是不是是否过期,是不是使用secret密钥进行加密的
        verifier.verify(token);//验证失败抛出RuntimException,所以不需要返回,直接捕获异常即可
    }
}

一、封装token

@Component
public class ThreadLocalToken {
    private ThreadLocal<String> tokenLocal=new ThreadLocal<>();
    public void setTokenLocal(String token){
        tokenLocal.set(token);
    }
    public String getTokenLocal(){
        return tokenLocal.get();
    }
    public void clear(){
        tokenLocal.remove();
    }
}

二、创建Realm类继承AuthorizingRealm ,实现授权和认证

//shiro授权,验证token
@Component
public class AuthRealm extends AuthorizingRealm {
    @Autowired
    private JwtUtil jwtUtil;

    /**
     * 判断传入的token对象是否符合要求
     * AuthenticationToken是接口类型,传入AuthenticationToken的子类即可,判断是否是自定义的AuthToken类对象
     * @param token
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof AuthToken;
    }

    /**
     * 授权(验证权限时调用)
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthenticationInfo info=new SimpleAuthenticationInfo();
        //TODO 查询用户的权限列表
        //TODO 把权限列表添加到info对象中
        return (AuthorizationInfo) info;
    }

    /**
     * 认证(登录时调用)
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //TODO 从令牌中获取userId,然后检测该账户是否被冻结
        SimpleAuthenticationInfo info=new SimpleAuthenticationInfo();
        //TODO 往info对象中添加用户信息、Token字符串
        return info;
    }
}

三、创建Filter继承AuthenticatingFilter 对HTTP请求进行过滤,并对token进行验证

/**
 * 对请求进行过滤,对Options请求放行
 * 封装token对象
 */
@Component
@Scope("prototype")
public class AuthFilter extends AuthenticatingFilter {
    @Autowired
    private ThreadLocalToken threadLocalToken;

    @Value("${emos.jwt.cache-expire}")
    private int cacheExpire;
    @Autowired
    private JwtUtil jwtUtil; //验证token
    @Autowired
    private RedisTemplate redisTemplate; //操作Redis

    /**
     * 拦截请求后,用于把令牌字符串封装成令牌对象AuthToken
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        //获取请求token
        String token=getRequestToken((HttpServletRequest) servletRequest);
        if (StrUtil.isBlank(token)){ //判断Token是否为null和空字符串
            return null;
        }
        return new AuthToken(token);
    }

    /**
     * 拦截请求,判断是否需要被Shiro处理,放行Options请求
     * 返回为true则不执行onAccessDenied,反之执行
     * @param request
     * @param response
     * @param mappedValue
     * @return true 放行 false 不放行
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest req= (HttpServletRequest) request;
        //Ajaxt提交application/json数据的时候,会先发出Options请求(判断连接是否可用,不携带数据)
        //这里要放行Options请求,不需要Shiro处理
        if(req.getMethod().equals(RequestMethod.OPTIONS.name())){
            return true;
        }
        //除了Options请求外,都不予放行,等待被Shiro处理
        return false;
    }

    /**
     * 从请求头中获取token,验证token是否有效,是否需要刷新
     * false 请求结束
     * true 进入到业务controller
     * 核心: 调用executeLogin, 并不是真正的login, 本质还是调用subject.login(token)到Realm去做认证, 返回true认证通过, 访问controller
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        //设置响应体参数
        HttpServletResponse response= (HttpServletResponse) servletResponse;
        response.setContentType("text/html");
        response.setCharacterEncoding("UTF-8");
        //允许跨域请求
        response.setHeader("Access-Control-Allow-Credentials","true");
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        //使用前先清空
        threadLocalToken.clear();

        String token=getRequestToken(request);
        if (StrUtil.isBlank(token)){ //token为空返回客户端一个错误消息
            response.setStatus(HttpStatus.SC_UNAUTHORIZED);
            response.getWriter().print("无效令牌");
            return false;
        }
        //验证token
        try{
            jwtUtil.verifierToken(token);//验证失败抛出异常
        }catch (TokenExpiredException e){//过期异常,刷新令牌
            //如果客户端token过期,判断redis中的缓存异常是否过期
            //缓存异常过期则需要重新登录,未过期就重新生成token
            if(redisTemplate.hasKey(token)){ //缓存token未过期
                redisTemplate.delete(token);
                //从老token中获取userId重新加密生成新token,并添加到redis和ThreadLocal中
                int userId=jwtUtil.getUserId(token);
                token=jwtUtil.creatToken(userId);
                redisTemplate.opsForValue().set(token,userId+"",cacheExpire, TimeUnit.DAYS);
                threadLocalToken.setTokenLocal(token);
            }
            else{ //两者都过期,需要重新登录
                response.setStatus(HttpStatus.SC_UNAUTHORIZED);
                response.getWriter().print("令牌已过期");
                return false;
            }
        }catch (JWTDecodeException e){//内容异常
            response.setStatus(HttpStatus.SC_UNAUTHORIZED);
            response.getWriter().print("无效令牌");
            return false;
        }
        //令牌正常,执行Realm类,进行Shiro的认证和授权
        //调用executeLogin, 并不是真正的login, 本质还是调用subject.login(token)到Realm去做认证, 返回true认证通过, 访问controller
        return executeLogin(servletRequest,servletResponse);//认证和授权失败都返回false
    }

    /**
     * executeLogin  认证失败调用方法
     * @param token
     * @param e
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        //认证失败返回状态码等响应信息
        HttpServletResponse resp= (HttpServletResponse) request;
        response.setContentType("text/html");
        response.setCharacterEncoding("UTF-8");
        //允许跨域请求
        resp.setHeader("Access-Control-Allow-Credentials","true");
        resp.setHeader("Access-Control-Allow-Origin", resp.getHeader("Origin"));
        resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
        try {
            resp.getWriter().print(e.getMessage());//返回错误信息
        } catch (Exception exception) {

        }

        return false;
    }

    @Override
    public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        super.doFilterInternal(request, response, chain);
    }

    /**
     * 从请求头中获取token
     * @param request
     * @return
     */
    private String getRequestToken(HttpServletRequest request){
        String token=request.getHeader("token");
        if (StrUtil.isBlank(token)){ //如果请求头中获取不到token就尝试从请求体中获得
            token=request.getParameter("token");
        }
        return token;
    }
}

四、创建ShiroConfig,将Realm和Filter写入Shiro框架

@Configuration
public class ShiroConfig {
    /**
     * 封装Realm对象
     * @param realm
     * @return
     */
    @Bean("securityManager")
    public SecurityManager securityManager(AuthRealm realm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

    /**
     * 封装Filter对象
     * 设置Filter拦截路径
     * @param securityManager
     * @param filter
     * @return
     */
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager,AuthFilter filter){
        ShiroFilterFactoryBean shiroFilter=new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        //将Filter对象封装到Map中,然后map传给facteryBean
        Map<String, Filter> map=new HashMap<>();
        map.put("authc",filter); //authc--拦截
        shiroFilter.setFilters(map);

        //过滤规则
        Map<String,String> mapFilter=new LinkedHashMap<>();
        //TODO 拦截规则待更新
        //anno表示允许匿名访问
        mapFilter.put("/webjars/**","anno");
        mapFilter.put("/druid/**","anno");
        mapFilter.put("/app/**","anno");
        mapFilter.put("/sys/login","anno");
        mapFilter.put("/swagger-ui.html","anno");
        mapFilter.put("/druid/**","anno");
        mapFilter.put("/v2/api-docs","anno");
        mapFilter.put("/user/register","anno");
        mapFilter.put("/user/login","anno");
        mapFilter.put("/test/**","anno");
        mapFilter.put("/**","authc");//authc--进行身份认证后才能访问
        shiroFilter.setFilterChainDefinitionMap(mapFilter);
        return shiroFilter;
    }

    /**
     * 管理Shiro对象生命周期
     * @return
     */
    @Bean()
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    /**
     * 开启Shiro注解模式,可以在Controller中的方法上添加注解
     * AOP切面类,Web方法执行前,验证权限
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

五、创建TokenAop拦截Web方法返回对象,传递给客户端新的token

/**
 * 拦截web方法的返回值,对token进行处理
 */
@Component
@Aspect
public class TokenAop {
    @Autowired
    private ThreadLocalToken threadLocalToken;

    @Pointcut("execution(public * com.example.emoswx.controller.*.*(..))")
    public void aspect(){

    }

    @Around("aspect()") //环绕通知
    //通过ProceedingJoinPoint获取当前执行的方法
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
       ReturnMap returnMap = (ReturnMap) joinPoint.proceed();//执行目标方法,因为controller中的方法返回值被封装成R对象,所以可以使用R对象接收
       String token=threadLocalToken.getTokenLocal();
       if (token!=null){  //判断是否生成新的token,生成则返回给客户端
           returnMap.put("token",token);
           //每次使用完ThreadLocal都调用它的remove()方法清除数据,防止内存泄露
           threadLocalToken.clear();
       }
       return returnMap;
    }

}
嘻嘻哈哈Man
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
总的来说,这个系统通过SpringBoot构建基础框架,利用Shiro进行权限控制,结合JWT实现无状态认证,借助Jedis提升性能,运用MybatisPlus简化数据库操作,实现了基于URL的权限管理。这种设计不仅提高了系统的安全性,...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证和权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户和权限数据,而Redis利用Jedis实现JWT的安全存储和快速访问。这样的设计既...
Shiro框架和JWT
市民景先生
07-11 2527
目录shiro简介1.认证2.授权3.shiro靠什么做认证授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshiro是java非常有名的认证授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
手把手教你Shiro整合JWT实现登录认证
daishu21的博客
06-26 112
手把手教你Shiro整合JWT实现登录认证_shiro jwt_小二上酒8的博客-CSDN博客
基于JWTShiro 做接口权限认证
最新发布
Karka_的博客
06-20 599
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
引入shiro-redis包依赖+jwt 配置流程及代码实现
小爽帅到拖网速的博客
04-26 841
引入shiro-redis包依赖+jwt 配置流程及代码实现 路线 导入shiro-redis 依赖之后,就需要根据官方指示去实现两个bean的定义 1、在shiroConifg中定义这两个方法SessionManager and SessionsSecurityManager 2、在注入这两个注解redisSessionDAO and redisCacheManager,并重写上面两个方法 3、我们后端接收的请求都需要走jwtFilter,所以需要在shiroConifg中定义两个跟jwtFilter有关
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2229
Springboot整合Shiro+JWT实现用户登录认证和权限授权
SpringBoot+Shiro+JWT实现授权
帅帅气气的黑猫警长
09-03 1288
SpringBoot+JWT+Shiro实现前后端分离的授权
SpringBoot整合Shiro+JWT
05-15
Shiro的依赖将帮助处理认证授权,而JWT库(如`jjwt`)则用于生成和验证JWT。 2. **配置Shiro**:创建一个`ShiroConfig`类,配置Realm(领域),用于连接应用程序的用户数据源,通常是从数据库中获取。 Realm应...
SpringBoot集成ShiroJwt和Redis
10-24
通过以上步骤,我们可以构建一个完整的RBAC系统,其中Shiro处理权限控制,Jwt实现无状态认证,Redis提供高效的会话管理,而MyBatisPlus则简化了数据库操作。这样的系统不仅安全可靠,而且具有良好的扩展性和可维护性...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot shiro jwt实现认证授权
myli92的博客
03-16 2355
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证授权Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
SpringBoot+Vue从零开始做网站7-整合shiro+jwt实现用户认证授权
sunon_的博客
05-27 1668
上一篇用shiro来登入存在用户认证的问题,而又不想用cookie session,所以决定使用jwt来做用户认证
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
Shiro
weixin_45517802的博客
02-19 169
什么是Shiro Apache Shiro 是java的一个安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,不仅可以用在javaSE环境,也可以用在javaEE环境。 Shiro可以完成:认证授权、加密、会话管理、与web集成、缓存。 下载地址:http://shiro.apache.org/ Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,权限验证, 验证某个已认证的用户是否拥有某个权限,判断用户是否能进行操作,如:验
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6321
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
SpringBoot整合Shiro + JWT实现用户认证
qq_44709990的博客
02-28 4061
SpringBoot整合Shiro + JWT实现用户认证   登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Shiro + JWT实现登录及用户认证   Shiro相较于Spring Security而言是一款轻量级的安全框架,使用它我们可以不在数据库中设计权限相关的表,如果我们只需要处理匿名可访问接口和登录后可访问接口,那么使用Shiro将会很方便。在之前的博客里,我介绍了Spring Security的使用,以及JWT的由来等,有需要的可以传送: 【全网最细致
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 6088
在 SpringBoot 项目中使用 Shiro 安全框架和 JWT 来进行用户验证与权限控制
shiro+jwt+redis
05-19
ShiroJWT 结合使用可以实现无状态的身份认证授权。当用户登录成功后,将用户信息生成一个 JWT,并将其返回给客户端。客户端在后续请求中携带该 JWT,服务端使用 Shiro 进行解析和校验,实现身份认证授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值