springboot-shiro-jwt-redis实现用户登录的认证与授权(前后端分离)需要有一定shiro、jwt、redis、springboot基础

最新推荐文章于 2024-05-27 13:56:04 发布
最新推荐文章于 2024-05-27 13:56:04 发布
阅读量1.3k 收藏 11
点赞数 2
分类专栏: springboot shiro redis 文章标签: spring boot redis java web安全 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50518856/article/details/124519148
版权
springboot 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏
redis
1 篇文章 0 订阅
订阅专栏

springboot-shiro-jwt-redis实现用户登录的认证与授权(前后端分离)

shiro-jwt-redis实现用户认证、授权大致流程

认证时进行缓存获取数据,否则进入认证方法(可以自己debug弄清流程更好)

 

相关依赖:

主要依赖:

<dependency><!--包括shiro以及shiro-redis依赖-->
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis-spring-boot-starter</artifactId>
    <version>3.2.1</version>
</dependency>
<!--引⼊jwt-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

代码中使用的工具依赖:

<!--fastjson-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.35</version>
</dependency>

避免启动失败:

在META-INF下创建spring-devtoos.propertis配置文件在里面编写

restart.include.shiro-redis=/shiro-[\\w-\\.]+jar

application.yml配置

# DataSource Config
spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/vueblog?useUnicode=true&useSSL=false&characterEncoding=utf8&serverTimezone=Asia/Shanghai
    username: root
    password: 123456
mybatis-plus:
  mapper-locations: classpath*:/mapper/**Mapper.xml
server:
  port: 8081
logging: #sql日志
  level:
    com.xiaoke.mapper: DEBUG #dao接口全限定名称
shiro-redis:
  enabled: true
  redis-manager:
    host: 127.0.0.1:6379

JwtUtils :生成token,以及判断token进行封装的工具包

package com.xiaoke.util.model;//写自己的包
​
import com.alibaba.fastjson.JSONObject;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
​
import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
​
// jwt工具类
​
​
@Slf4j
@Data //自动生成setter、getter方法,可以直接写
@Component
public class JwtUtils {
    //token有效时长
    private static final long EXPIRE=30*60*1000L;
    //token的密钥
    private static final String SECRET="jwt+shiro";
​
​
    public static String createToken(JSONObject user) throws UnsupportedEncodingException {
        //token过期时间
        Date date=new Date(System.currentTimeMillis()+EXPIRE);
​
        //jwt的header部分
        Map<String ,Object> map=new HashMap<>();
        map.put("alg","HS256");
        map.put("typ","JWT");
​
        //使用jwt的api生成token
        String token= JWT.create()
                .withHeader(map)
                .withClaim("username", user.getString("username"))//私有声明
                .withExpiresAt(date)//过期时间
                .withIssuedAt(new Date())//签发时间
                .sign(Algorithm.HMAC256(SECRET));//签名
        return token;
    }
​
    //校验token的有效性,1、token的header和payload是否没改过;2、没有过期
    public static boolean verify(String token){
        try {
            //解密
            JWTVerifier verifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            verifier.verify(token);
            return true;
        }catch (Exception e){
            return false;
        }
    }
​
​
    //无需解密也可以获取token的信息
    public static String getUsername(String token){
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
​
    }
}

JwtToken:用来创建token信息

package com.xiaoke.config.shiro;
​
import org.apache.shiro.authc.AuthenticationToken;
​
public class JwtToken implements AuthenticationToken {
    private String token;
​
    public JwtToken(String jwt){
        this.token = jwt;
    }
​
    @Override
    public Object getPrincipal() {
        return token;
    }
​
    @Override
    public Object getCredentials() {
        return token;
    }
}

JwtFilter:用来处理拦截后的请求

package com.xiaoke.config.shiro;
​
import com.baomidou.mybatisplus.core.toolkit.StringUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.stereotype.Component;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
​
@Component
public class JwtFilter extends AuthenticatingFilter {
​
    @Override//重写token的创建,在执行onAccessDenied中的executeLogin时调用
    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String jwt = request.getHeader("Authorization");
        if(StringUtils.isEmpty(jwt)){
            return null;
        }
        return new JwtToken(jwt);
    }
​
    @Override//onPreHandler中调用判断执行
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        System.out.println("ServletRequest");
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        String token=request.getHeader("Authorization");
        if(StringUtils.isEmpty(token)) {//mybatis-plus中工具包,也可以自行判断
            System.out.println("ServletRequest::true");
            return true;
        }else {
            try {
                executeLogin(servletRequest, servletResponse);//调用Subject中login
                return true;
            }catch (Exception e){
​
                return false;
            }
        }
    }
​
}

AccountProfile:用来处理redis必须获取id做key

package com.xiaoke.config.shiro;
​
import lombok.Data;
​
import java.io.Serializable;
​
@Data
public class AccountProfile implements Serializable {
    private Long id;
​
    private String username;
​
    private String email;
​
    public AccountProfile() {
    }
​
    public AccountProfile(Long id, String username, String email) {
        this.id = id;
        this.username = username;
        this.email = email;
    }
}

AccountRealm:进行认证、授权的自定义重写

package com.xiaoke.config.shiro;
​
import com.alibaba.fastjson.JSONObject;
import com.xiaoke.service.PermissionService;
import com.xiaoke.service.UserService;
import com.xiaoke.util.model.JwtUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.stereotype.Component;
​
import javax.annotation.Resource;
import java.util.List;
​
@Component
public class AccountRealm extends AuthorizingRealm {
    @Resource
    JwtUtils jwtUtils;
    @Resource
    UserService userService;
    @Resource
    PermissionService permissionService;
    //为了让realm支持jwt的凭证校验
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }
​
    //权限校验
    @Override//传过来的principals就是认证时候传的
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("授权~~~~~");
        AccountProfile profile = (AccountProfile) principals.getPrimaryPrincipal();
        String username = profile.getUsername();//拿到认证中所使用的principals来获取信息
        List<JSONObject> roles = permissionService.getRoles(username);
        List<JSONObject> permissions;
        if(roles.get(0).containsValue("管理员")){//默认每一个人至少有一个角色
            permissions = permissionService.getAllPermission();
        }else {
            permissions = permissionService.getPermission(username);
        }
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //查询数据库来获取用户的角色
        for(JSONObject role: roles){
            info.addRole(role.getString("role_name"));
        }
        //查询数据库来获取用户的权限
        for(JSONObject permission: permissions){
            info.addStringPermission(permission.getString("permission_code"));
        }
        return info;
    }
    //登录认证校验
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String jwtToken = (String) token.getPrincipal();
        String username = null;
        try {
             username = jwtUtils.getUsername(jwtToken);
        }catch (Exception e){
            throw new AuthenticationException("token非法,不是规范的token,可能被篡改了,或者过期了");
        }
        if (!jwtUtils.verify(jwtToken)||username==null){
            throw new AuthenticationException("token认证失效,token错误或者过期,重新登陆");
        }
        //获取用户内容,判断用户是否存在###
        JSONObject user = userService.findUserByName(username);
        if(user == null){
            throw new UnknownAccountException("账户不存在");
        }
        if(user.getString("status").equals(-1)){
            throw new LockedAccountException("账户被锁定");
        }
        AccountProfile profile = new AccountProfile(user.getLong("id")
                        ,user.getString("username"),user.getString("email"));
        //BeanUtil.copyProperties(user,profile);//将user数据转移到profile
        //原先这里SimpleAuthenticationInfo构造的时候传入的是username,
        // 而redis做缓存是需要key,value的,这里必须要传入user,获取id做key.
        //相应的授权方法中获取身份信息也要获取user
            return new SimpleAuthenticationInfo(profile,jwtToken,getName());
             //加盐处理,这个地方使用redis因为ByteSource没有实现Serializable接口
            //需要自己定义重写定义序列化
          //return new SimpleAuthenticationInfo(profile, ByteSource.Util.bytes("盐值"),getName());
    }
}

ShiroConfig:shiro过滤器的配置

package com.xiaoke.config.shiro;
​
import com.xiaoke.config.shiro.AccountRealm;
import com.xiaoke.config.shiro.JwtFilter;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;
import javax.annotation.Resource;
import javax.servlet.Filter;
​
​
​
@Configuration
public class ShiroConfig {
    @Autowired
    private JwtFilter jwtFilter;
​
    @Bean
    @Resource
    public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(redisSessionDAO);
        return sessionManager;
    }
    @Bean
    @Resource
    public DefaultWebSecurityManager securityManager(Realm realm,
                                                     SessionManager sessionManager,
                                                     RedisCacheManager redisCacheManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(realm);
        redisCacheManager.setPrincipalIdFieldName("id");
        securityManager.setSessionManager(sessionManager);
        securityManager.setCacheManager(redisCacheManager);
​
        //关闭shiro自带的session,之后采用token的形式来保存数据
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        return securityManager;
    }
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/**", "jwt"); // 主要通过注解方式校验权限
        chainDefinition.addPathDefinitions(filterMap);
        return chainDefinition;
    }
    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,
                                                         ShiroFilterChainDefinition shiroFilterChainDefinition) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
​
        Map<String, Filter> filters = new HashMap<>();
        filters.put("jwt", jwtFilter);//配置自定义过滤器
        shiroFilter.setFilters(filters);
​
​
        Map<String, String> filterMap = shiroFilterChainDefinition.getFilterChainMap();//配置拦截请求
        //设置后所有请求通过jwt认证
        shiroFilter.setFilterChainDefinitionMap(filterMap);
​
        return shiroFilter;
    }
    @Bean(name = "realm")
    public Realm getRealm(){
        AccountRealm accountRealm = new AccountRealm();
        accountRealm.setCachingEnabled(true);
        //启用身份验证缓存,即缓存AuthenticationInfo信息,默认false
        accountRealm.setAuthenticationCachingEnabled(true);
        //缓存AuthenticationInfo信息的缓存名称 在ehcache-shiro.xml中有对应缓存的配置
        accountRealm.setAuthenticationCacheName("authenticationCache");
        //启用授权缓存,即缓存AuthorizationInfo信息,默认false
        accountRealm.setAuthorizationCachingEnabled(true);
        //缓存AuthorizationInfo信息的缓存名称  在ehcache-shiro.xml中有对应缓存的配置
        accountRealm.setAuthorizationCacheName("authorizationCache");
       /* //修改凭证校验匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //设置加密算法为MD5
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //设置散列次数
        hashedCredentialsMatcher.setHashIterations(1024);
        accountRealm.setCredentialsMatcher(hashedCredentialsMatcher);
*/
        return accountRealm;
    }
​
}

UserController:user控制器(可自行编写,只做参考)

package com.xiaoke.controller;
​
​
import com.alibaba.fastjson.JSONObject;
import com.xiaoke.entity.User;
import com.xiaoke.mapper.PermissionMapper;
import com.xiaoke.service.UserService;
import com.xiaoke.util.contants.ErrorEnum;
import com.xiaoke.util.model.JwtUtils;
import com.xiaoke.util.model.Result;
import org.apache.shiro.authz.annotation.RequiresAuthentication;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.UnsupportedEncodingException;
import java.util.List;
​
/**
 * <p>
 *  前端控制器
 * </p>
 *
 * @author anonymous
 * @since 2022-04-18
 */
@RestController
@RequestMapping("/user")
public class UserController {
    @Resource
    private UserService userService;
​
    @Resource
    private PermissionMapper permissionMapper;
​
    @RequiresAuthentication
    @RequiresRoles("管理员")
    @GetMapping("/index")
    public JSONObject index(){
        return userService.getById(1);
    }
    @GetMapping("/Login")
    public JSONObject login(User user, HttpServletResponse response) throws UnsupportedEncodingException {
        JSONObject userDb = userService.findUserByName(user.getUsername());
        if(userDb!=null){
            if(userDb.getString("password").equals(user.getPassword())){
                String token = JwtUtils.createToken(userDb);
                response.setHeader("Authorization",token);
                return Result.successLogin();
            }
            return Result.errorJson(ErrorEnum.E_password);
        }
        return Result.errorJson(ErrorEnum.E_username);//Result为返回状态信息,可自行编写
    }
    @RequiresAuthentication
    @GetMapping("/getUser")
    public JSONObject getUser(HttpServletRequest request,HttpServletResponse response){
        JSONObject data = new JSONObject();
        String token = request.getHeader("Authorization");
        String username = JwtUtils.getUsername(token);
        List<JSONObject> roles = permissionMapper.getRoles(username);
        List<JSONObject> permission;
        data.put("roles",roles);
        if(roles.get(0).containsValue("管理员")){
            permission = permissionMapper.getAllPermission();
        }else {
            permission = permissionMapper.getPermission(username);
        }
        data.put("permission",permission);
        response.setHeader("Authorization",token);
        return Result.successJson(data);
    }
    @GetMapping("/register")
    public JSONObject register(User user){
        return userService.register(user);
    }
​
}

GlobalExceptionHandler:全局异常处理(可自行编写,只做参考)

package com.xiaoke.common.exception;
​
import com.alibaba.fastjson.JSONObject;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.xiaoke.util.contants.ErrorEnum;
import com.xiaoke.util.model.Result;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.ShiroException;
import org.apache.shiro.authz.UnauthenticatedException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseStatus;
import org.springframework.web.bind.annotation.RestControllerAdvice;
​
import java.io.IOException;
​
/**
 * 日志输出
 * 全局捕获异常
 */
@Slf4j
@RestControllerAdvice
public class GlobalExceptionHandler {
    @ResponseStatus(HttpStatus.UNAUTHORIZED) //因为前后端分离 返回一个状态 一般是401 没有权限
    @ExceptionHandler(value =  ShiroException.class)//捕获运行时异常ShiroException是大部分异常的父类
    public JSONObject handler(ShiroException e){
        log.error("运行时异常:-----------------{}",e);
        return Result.errorJson(e.getMessage());
    }
​
​
    @ResponseStatus(HttpStatus.BAD_REQUEST) //因为前后端分离 返回一个状态
    @ExceptionHandler(value =  RuntimeException.class)//捕获运行时异常
    public JSONObject handler(RuntimeException e){
        log.error("运行时异常:-----------------{}",e);
        return Result.errorJson(e.getMessage());
    }
​
    // 捕捉shiro的异常
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(UnauthenticatedException.class)
    public JSONObject handle401(UnauthenticatedException e) {
        return Result.errorJson(ErrorEnum.E_20011);
    }
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(UnauthorizedException.class)
    public JSONObject handle(UnauthorizedException e) {
        return Result.errorJson(ErrorEnum.E_无权限);
    }
   
}

以下可自行编写,仅作参考:(可以自行编写)

Result:返回信息进行封装

package com.xiaoke.util.model;
​
import com.alibaba.fastjson.JSONObject;
import com.xiaoke.util.contants.Contants;
import com.xiaoke.util.contants.ErrorEnum;
​
public class Result {
    public static JSONObject successJson(Object data){
        JSONObject resultJson = new JSONObject();
        resultJson.put("code", Contants.SUCCESS_CODE);
        resultJson.put("msg",Contants.SUCCESS_MSG);
        resultJson.put("data",data);
        return resultJson;
    }
​
    public static JSONObject successLogin(){
        JSONObject resultJson = new JSONObject();
        resultJson.put("code", Contants.SUCCESS_CODE);
        resultJson.put("msg","登录成功");
        resultJson.put("data", new JSONObject());
        return resultJson;
    }
    public static JSONObject errorJson(ErrorEnum errorEnum){
        JSONObject resultJson = new JSONObject();
        resultJson.put("code", errorEnum.getErrorCode());
        resultJson.put("msg", errorEnum.getErrorMsg());
        resultJson.put("data", new JSONObject());
        return resultJson;
    }
    public static JSONObject errorJson(String errorEnum){
        JSONObject resultJson = new JSONObject();
        resultJson.put("code", 401);
        resultJson.put("msg", errorEnum);
        resultJson.put("data", new JSONObject());
        return resultJson;
    }
}
package com.xiaoke.util.contants;
​
//通用常量方便管理
public class Contants {
    public static final String SUCCESS_CODE = "200";
    public static final String SUCCESS_MSG = "请求成功";
}
package com.xiaoke.util.contants;
​
/**
 */
public enum ErrorEnum {
   /*
    * 错误信息
    * */
  
   E_10010("10010","登录失败,请重新登录"),
   E_20011("401", "登陆已过期,请重新登陆"),
   E_username("400","用户名错误"),
   E_password("400","密码错误"),
​
   private String errorCode;
​
   private String errorMsg;
​
   ErrorEnum(String errorCode, String errorMsg) {
      this.errorCode = errorCode;
      this.errorMsg = errorMsg;
   }
​
   public String getErrorCode() {
      return errorCode;
   }
​
   public String getErrorMsg() {
      return errorMsg;
   }
​
}

如果shiro中要进行密码加盐处理:开启ShiroConfig中校验匹配器,在redis序列化会出现问题可以看以下进行处理:

(75条消息) springBoot+shiro+redis缓存实现时,反序列化的一个错误no valid constructor_Eden4J的博客-CSDN博客

在运行时可能出现的一些问题:

1.redis服务没有开启

2.application.yml配置中数据库信息错误

3.相关依赖没有添加完成

以上是本人花费一些时间查找相关资料以及debug之后的总结,如果有更好的方法或者建议,欢迎互相学习

_xiaoke_
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt地址: : ...实现Shiro的Cache(Redis)功能: : 项目介绍 RESTful API Maven集成Mybatis Generator(逆向工程) Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码加密(采用AES-128 + Base6
shiro+springboot+jwt+redis
weixin_43275578的博客
11-10 934
shiro整合
手把手教你Shiro整合JWT实现登录认证
daishu21的博客
06-26 110
手把手教你Shiro整合JWT实现登录认证_shiro jwt_小二上酒8的博客-CSDN博客
Shiro+Jwt+Redis
最新发布
qq_43907296的博客
05-27 695
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
前后分离权限设计方案:shiro+redis+jwt
热门推荐
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2229
Springboot整合Shiro+JWT实现用户登录认证和权限授权
springboot shiro jwt实现认证授权
myli92的博客
03-16 2350
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证授权Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot中结合Shiro使用Jwt,可以在用户登录成功后生成一个Jwt Token,然后将其返回给客户。客户每次请求时带上Token,服务器验证Token的有效性,以此实现无状态的身份认证。 **Redis** 是一个高性能的...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
sping-boot-shiro-jwt-redis.zip
07-22
《Spring Boot整合ShiroJWTRedis实现Token自动刷新详解》 在现代Web开发中,安全性和用户体验是两个至关重要的方面。Spring Boot以其强大的功能和便捷的开发体验,已经成为Java后开发的首选框架。而Shiro和...
springBoot整合shiro
风清扬门下的博客
08-11 162
1新建spring项目 导入依赖:`<?xml version="1.0" encoding="UTF-8"?> 4.0.0 org.springframework.boot spring-boot-starter-parent 2.3.2.RELEASE com.myshrio demo 0.0.1-SNAPSHOT <name>demo</name> <description>Demo project for Spring Boot</de
SpringBoot 整合 shiro 前后分离
爱码猿的博客
06-28 764
SpringBoot 整合 shiro 前后分离 最近看了个 github 的开源项目,里面就使用到了shiro实现前后分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。 虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址:https://github.com/zykzhangyukang/Xinguan 1.导入依赖,编写工具类 Mavne 依赖 <!-- 前后分离 采用 jwt生成token--> .
Springboot整合shiro(及yaml配置形式)
web13985085406的博客
04-26 967
1.shiro是什么 Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: 1. Subject:主体,一般指用户。 2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) 3. Realms:用于进行权限
java热部署实现shiro,SpringBoot2.x+shiro+redis+jwt+swagger+mybatis 前后分离实战脚手架(一)...
weixin_34856444的博客
03-16 208
1.实战脚手架搭建-创建项目基本骨架1.1 快速创建 Spring Boot 项目目录如下pom 文件如下xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">4.0.0org.springframework.bootspring-boot-sta...
springboot+shiro+redis+jwt模块化开发登录权限校验
weixin_42840756的博客
08-17 1202
springboot+shiro+jwt+redis实现登录模块1.demo项目结构1.1.导入依赖1.2. 登录服务ShiroConfig配置类自定义realm,这里主要定义授权和校验的规则JwtFilter,自定义JWT拦截器1.3管理服务LoginInterceptor管理拦截器LoginConfigLoginStub 之前在公司的时候一直接触到这个东西,由于是同事写的,而且没有仔细的把流程实现一遍,总是有些一知半解的样子,就自己做了一个小的demo来过一遍流程。我这里使用的是模块化的开发,只涉及到
shiro授权流程分析
qiuxinfa123的博客
04-05 285
上一篇博客,写了shiro认证流程分析 ,shiro主要功能是认证授权,接下来,看看授权是如何进行的,既然要授权,当然会执行我们自定义的授权方法,所以在授权方法打个断点看看情况,当访问需要角色或者权限的接口时,就会来到授权方法(这里暂时不考虑缓存的因素,可以看做是第一次请求): 我们看一下方法调用栈: 可以看到控制器AdminController是C...
整合springboot+shiro+jwt+redis遇到的坑以及浅见
qq_26993175的博客
10-26 3368
前言 现有项目框架是springboot+shiro搭建的。由于默认使用了shirosession且未使用缓存,导致服务重启后认证状态丢失。也不支持分布式。所以加上jwtredis。使其支持服务无状态登录。 在pom.xml中增加依赖。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</ar
springboot+shiro+redis+jwt实现登录:PC和移动同时在线(不同终可同时在线)
weixin_43165220的博客
05-08 5142
前言 之前写了篇springboot+shiro+redis登录:单点登录+移动和PC同时在线的文章,但是token用的不是 jwt 而是 sessionID,虽然已经实现了区分pc和移动,但是还是有些问题存在的,比如:自定义的Session管理器中,生成的sessionid无法区分不同终;还有就是登录用的是 subject.login(token) shiro帮我们自动登录,要实现的是移动需要保持长期登录; 关于移动保持长期登录,我想的是,另外建一张存储用户信息和token的表,登录成功
springboot+shiro+jwt+redis
08-18
综上所述,Spring Boot结合ShiroJWTRedis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值