整合Shiro+Jwt

已于 2023-09-19 11:11:51 修改
阅读量465 收藏
点赞数 1
文章标签: java 开发语言
于 2023-09-19 11:09:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57747969/article/details/133017259
版权

整合Shiro+Jwt大体思路

springboot整合shiro大体上的思路:

1.自定义一个类Realm extends AuthorizingRealm{}

主要是对token授权和认证

重写2个方法

doGetAuthorizationInfo  //授权
doGetAuthenticationInfo  //认证
认证 代码中手动加上对token校验的判断
2.自定义一个@Configuration类ShiroConfig

ShiroConfig类主要做3个事情

将自定义的Realm注册bean

将realm对象与securityManager对象关联  

securityManager.setRealm(realm);

将securityManager对象与ShiroFilterFactoryBean对象关联

shiroFilterFactoryBean.setSecurityManager(getDefaultWebSecurityManager);

3.整合jwt

先定义公共类JwtUtils

其中定义三个方法 作用分别为token生成  token校验  token是否过期

在realm类的认证doGetAuthenticationInfo方法中调用JwtUtils解析token和登录用户是否满足条件

满足则返回AuthenticationInfo对象 对象中包含profile token name

(只需要定义个profile就好了  profile就是登录的用户信息  可以再定义一个用户实体类  把用户信息放入实体类中那这个对象类就是profile)

边学边整理思路  详细的得边敲边看代码

Shiro整合JWT的两种方式

1.通过URL进行权限控制:
  • 配置方式: 在Shiro的配置文件(通常是shiro.ini或shiro-config.xml)中配置URL路径与权限的映射关系。这个配置指定了哪些URL需要哪些权限。
<!-- shiro.ini或shiro-config.xml配置示例 -->
<property name="filterChainDefinitions">
    <!-- URL路径与权限的映射关系 -->
    /admin/** = roles[admin], perms["user:delete"]
    /user/** = authc
</property>

代码示例: 在Java代码中,只需配置Shiro的FilterChainDefinitionMap,将URL路径和权限映射起来。

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/admin/**", "roles[admin]");
filterChainDefinitionMap.put("/user/**", "authc");

特点:

  • 静态配置:权限规则在配置文件中静态定义,不易动态改变。
  • 适用于简单的权限需求,不需要频繁修改权限规则。

2.通过注解进行权限控制:
  • 配置方式: 在需要进行权限控制的Controller类或方法上使用Shiro提供的注解,如@RequiresRoles@RequiresPermissions
@Controller
@RequestMapping("/admin")
public class AdminController {

    @RequiresRoles("admin")
    @GetMapping("/view")
    public String adminView() {
        // 处理业务逻辑
        return "admin/view";
    }
}

特点:

  • 动态控制:权限规则可以根据方法的注解动态变化,不需要重新配置。
  • 精细控制:可以根据方法级别的注解进行更精细的权限控制。
3.配置文件和注解的关系:
  • 在项目中,通常会将基本的URL路径与权限的映射关系配置在配置文件中,这些是项目的基础权限。然后,通过注解在Controller中进行更精细的权限控制,例如,限制某个Controller的某个方法需要特定的角色或权限。
<!-- shiro.ini或shiro-config.xml配置示例 -->
<property name="filterChainDefinitions">
    <!-- URL路径与基本权限的映射关系 -->
    /admin/** = roles[admin], perms["user:delete"]
    /user/** = authc
</property>

@Controller
@RequestMapping("/admin")
public class AdminController {

    @RequiresRoles("admin")
    @GetMapping("/view")
    public String adminView() {
        // 处理业务逻辑
        return "admin/view";
    }
}

  1. 这种组合方式可以实现项目中灵活的权限控制,基本权限由配置文件定义,而特殊权限由注解在代码中控制,使得权限管理更加清晰和可维护。

通过这种组合方式,您可以在项目中实现动态和精细的权限管理,同时保持基本权限的静态配置,以适应不同的权限需求。

对比说明

1. 通过URL进行权限控制:

首先,配置Shiro的过滤器和URL拦截规则,然后在控制器中添加注解。

Shiro配置文件 (shiro.ini 或 shiro-config.xml):

<!-- 配置JWTFilter,用于处理JWT的生成、解析和验证 -->
<bean id="jwtFilter" class="com.example.JWTFilter"></bean>

<!-- 配置Shiro过滤器链 -->
<filter-mappings>
    <filter-name>jwtFilter</filter-name>
    <url-pattern>/api/**</url-pattern>
</filter-mappings>

控制器 (AdminController.java):

@Controller
@RequestMapping("/admin")
public class AdminController {

    // 需要admin:view权限才能访问
    @GetMapping("/view")
    public String view() {
        return "admin/view";
    }

    // 其他业务方法
}
2. 通过注解进行权限控制:

在控制器方法上添加Shiro的注解来声明需要的角色或权限。

控制器 (AdminController.java):

@Controller
@RequestMapping("/admin")
public class AdminController {

    @RequiresPermissions("admin:view") // 使用注解声明需要admin:view权限
    @GetMapping("/view")
    public String view() {
        return "admin/view";
    }

    // 其他业务方法
}

上述代码演示了通过URL控制和通过注解控制权限的两种方式。通过URL控制更加基于URL模式,适用于相对简单的权限需求,可以在配置文件中进行集中管理。通过注解控制更加直观,能够明确指定每个方法的权限要求,适用于需要细粒度控制的情况。

合二为一:

Shiro配置文件 (shiro.ini 或 shiro-config.xml):
<!-- 配置JWTFilter,用于处理JWT的生成、解析和验证 -->
<bean id="jwtFilter" class="com.example.JWTFilter"></bean>

<!-- 配置Shiro过滤器链 -->
<filter-mappings>
    <filter-name>jwtFilter</filter-name>
    <url-pattern>/api/**</url-pattern>
</filter-mappings>
控制器 (AdminController.java):(注意两种方式代码基本一致,只是注释有区别)
@Controller
@RequestMapping("/admin")
public class AdminController {

    @RequiresPermissions("admin:view") // 使用注解声明需要admin:view权限
    @GetMapping("/view")
    public String view() {
        return "admin/view";
    }

    // 其他业务方法,例如编辑管理员信息,需要admin:edit权限
    @RequiresPermissions("admin:edit")
    @GetMapping("/edit")
    public String edit() {
        return "admin/edit";
    }

    // 删除管理员,需要admin:delete权限
    @RequiresPermissions("admin:delete")
    @GetMapping("/delete")
    public String delete() {
        return "admin/delete";
    }

    // 其他业务方法
}

在上述示例中,我们添加了更多的业务方法,如编辑管理员信息和删除管理员,并使用Shiro的@RequiresPermissions注解明确指定每个方法需要的权限要求。例如,edit方法需要admin:edit权限,delete方法需要admin:delete权限。

师范大学通信大怨总
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5785
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
在这个项目中,SpringBoot作为基础框架,整合ShiroJWT、数据库和Redis等组件,提供了RESTful API的入口和处理逻辑。 **MySQL数据库** MySQL是广泛使用的开源关系型数据库,用于存储用户信息、权限规则等数据。...
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Shiro
weixin_45517802的博客
02-19 157
什么是Shiro Apache Shiro 是java的一个安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,不仅可以用在javaSE环境,也可以用在javaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存。 下载地址:http://shiro.apache.org/ Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,权限验证, 验证某个已认证的用户是否拥有某个权限,判断用户是否能进行操作,如:验
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 882
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
shiroshiro整合JWT——3.执行流程
kevin的博客
06-02 1389
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,主要讲如何在shiro框架中配置Jwt,以及token执行的流程。该篇主要梳理整个代码的执行流程。ps:本文主要以记录核心思路为主,以下都是个人理解,有问题请各位大佬指导一下。登录获取token携带token请求。
shiroshiro整合JWT——2.如何整合
kevin的博客
06-02 1389
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,我们知道了需要创建JwtToken、JwtUtil、JwtFilter。该篇主要讲如何在shiro框架中,配置Jwt。ps:本文主要以记录核心思路为主。
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8458
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户鉴权,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
SpringBoot集成ShiroJwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成ShiroJwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
Shiro整合JWT
qq_43654581的博客
10-19 1054
1.整合JWT(JWT能很好的实现单点登录) 表单提交认证,认证成功后返回token,之后的请求携带token进行访问; 之前只需要认证一次,并将用户信息存储到session中; 使用jwt(无状态)之后,每次请求都需要重新认证,不用session,禁用session 2.整合swagger以便测试
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
Shiro整合JWT
m0_67391270的博客
03-28 1373
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6106
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 924
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。JwtToken (JWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
Shiro系列(一)——Shiro + Springboot + JWT 整合
玖涯博客
02-17 1371
写在前面 本文的出现表示不再进行 Spring Security Oauth 实现的研究了,原因是原开源项目已经被废弃了不再更新了,而且 Oauth 实现的内容有些奇怪,新的项目 spring-authorization-server 目前才发布到 0.1.0,默认只提供了基于内存的实现,个人认为还不是很完善,不适合用到项目中。而且 Spring Security 的 Oauth 流程都实现了,要修改还得从新研究 spring-authorization-server 的实现逻辑,然后进行修改定制,太耗费精
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2320
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权。 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
springboot+shiro+jwt+mybatisplus框架
06-09
这个框架整合可以分为以下几个步骤: 1. 集成 Spring Boot:在 pom.xml 文件中添加 Spring Boot 依赖,创建 Spring Boot 启动类。 2. 集成 MyBatis Plus:在 pom.xml 文件中添加 MyBatis Plus 依赖,配置数据源和 MyBatis Plus 相关配置。 3. 集成 Shiro:在 pom.xml 文件中添加 Shiro 依赖,创建 Shiro 配置类,配置 Shiro 的 Realm 和 SecurityManager。 4. 集成 JWT:在 pom.xml 文件中添加 jjwt 依赖,创建 JWT 工具类,用于生成和解析 JWT。 下面是一个简单的示例代码,你可以根据你的实际需求进行调整: 1. pom.xml 文件中添加依赖: ```xml <!-- Spring Boot --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- MyBatis Plus --> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>${mybatis-plus.version}</version> </dependency> <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency> <!-- jjwt --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>${jjwt.version}</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>${jjwt.version}</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>${jjwt.version}</version> <scope>runtime</scope> </dependency> ``` 2. 创建 Spring Boot 启动类: ```java @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 3. 配置 MyBatis Plus: ```java @Configuration @MapperScan("com.example.mapper") public class MyBatisPlusConfig { @Bean public PaginationInterceptor paginationInterceptor() { return new PaginationInterceptor(); } } ``` 4. 配置 Shiro: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); shiroFilter.setUnauthorizedUrl("/401"); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/401", "anon"); filterChainDefinitionMap.put("/**", "jwt"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); Map<String, Filter> filters = new LinkedHashMap<>(); filters.put("jwt", new JwtFilter()); shiroFilter.setFilters(filters); return shiroFilter; } @Bean public DefaultWebSecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } @Bean public Realm realm() { return new UserRealm(); } } ``` 5. 创建 JWT 工具类: ```java public class JwtUtil { private static final String SECRET_KEY = "your_secret_key"; private static final long EXPIRATION_TIME = 3600_000; // 1 hour public static String generateToken(String username) { Date now = new Date(); Date expiration = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (JwtException e) { return false; } } } ``` 6. 创建 JwtFilter: ```java public class JwtFilter extends AuthenticatingFilter { @Override protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) { HttpServletRequest request = (HttpServletRequest) servletRequest; String token = request.getHeader("Authorization"); if (StringUtils.isBlank(token)) { return null; } return new JwtToken(token); } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { HttpServletResponse response = (HttpServletResponse) servletResponse; response.setCharacterEncoding("UTF-8"); response.setContentType("application/json; charset=utf-8"); response.setStatus(HttpStatus.UNAUTHORIZED.value()); response.getWriter().write("{\"code\":401,\"message\":\"未登录或登录已过期,请重新登录\"}"); return false; } @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { HttpServletRequest request = (HttpServletRequest) servletRequest; String token = request.getHeader("Authorization"); if (StringUtils.isBlank(token)) { return false; } return JwtUtil.validateToken(token); } } ``` 7. 创建 JwtToken: ```java public class JwtToken implements AuthenticationToken { private final String token; public JwtToken(String token) { this.token = token; } @Override public Object getPrincipal() { return JwtUtil.getUsernameFromToken(token); } @Override public Object getCredentials() { return token; } } ``` 8. 创建 UserRealm: ```java public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { String username = (String) authenticationToken.getPrincipal(); User user = userService.getByUsername(username); if (user == null) { throw new UnknownAccountException("账号不存在"); } return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName()); } } ``` 这样,简单的 Spring Boot + Shiro + JWT + MyBatis Plus 整合就完成了。你可以根据具体的需求,对代码进行修改和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

师范大学通信大怨总

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值