Shiro实现jwt验证流程梳理

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量7.3k 收藏 13
点赞数 1
分类专栏: java 文章标签: java shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robin912/article/details/80495235
版权

Shiro实现jwt验证流程梳理

Shiro jwt实现
jwt验证原理

由于业务需要用到jwt验证,需要把实现的用户密码验证方式修改为jwt的验证方式.
在把之前的登录流程修改为jwt验证时,是省略掉了shiro内部的login步骤和session管理
代码修改如下:

-        Subject subject = SecurityUtils.getSubject();
-        subject.login(usernamePasswordToken); //完成登录
-        UserInfo2 user = (UserInfo2) subject.getPrincipal();
-        session.setAttribute(Constant.CURRENT_USER, user);
+        if (userBean.getPasswrod().equals(loginInfo.getPassword())) {
+            String token = JWTUtil.sign(loginInfo.getLoginname(),loginInfo.getPassword());
+            SessionManager.addOrUpdateSessionEntity(token,SessionManager.USER_BEAN,userBean);
+            return new Result<String >(200,"success", token);
+        }

由于在controller省略掉了登录流程,需要添加Filter过滤,在Filter中调用login步骤,代码执行流程:
preHandle->isAccessAllowed->isLoginAttempt->executeLogin

login的登录调用流程如下

 executeLogin
    login
      authenticate
        onAuthenticate
          UserRealm::getAuthenticationInfo
            doGetAuthenticationInfo

真正的验证流程还是在UserRealm::doGetAuthenticationInfo

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        String token = (String) auth.getCredentials();
        // 解密获得username,用于和数据库进行对比
        String loginname = JWTUtil.getLoginname(token);
        if (loginname == null) {
            throw new AuthenticationException("token can not match !");
        }
        UserBean userBean = (UserBean) SessionManager.getSessionEntity(token,SessionManager.USER_BEAN);

        if (userBean == null ) {
            userBean = userService.getUserBean(loginname);
            if (userBean == null) {
                throw new AuthenticationException("user " + loginname + " does not exist");
            } else {
                SessionManager.addOrUpdateSessionEntity(token,SessionManager.USER_BEAN,userBean);
            }

        }
        if (! JWTUtil.verify(token, loginname, userBean.getPasswrod())) {
                throw new AuthenticationException("username or password is wrong");
        }
        return new SimpleAuthenticationInfo(token, token, "userRealm");
    }
  1. 为什么需要在Filter中调用login,不能在loginUser中调用login?
    由于Shiro默认的验证方式是基于session的,在基于token验证的方式中,不能依赖session做为登录的判断依据.
    Shiro预定义的AuthenticationFilter::isAccessAllowed
 protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

在JWTFilter中,如下

    @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
       try {
           if (!isLoginAttempt(request, response) || !executeLogin(request,response)) {
               response401(request,response);
           }
       } catch (UnauthorizedException e) {
           response403(request,response);
           return false;
       } catch (AuthenticationException ae) {
           response401(request, response);
           return false;
       }

        return true;
    }

其中isLoginAttempt时通过判断请求的httpHeader中是否包含Authentication字段,在这里,自定义的字段取值为jwt token.

robin912
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro实现jwt
cmm1的博客
10-24 2288
这里只实现jwtshiro实现前面文章有,先实现shiro实现jwtjwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 4209
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证、Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
shiro+JWT实现简单认证
qq_43160840的博客
07-11 460
首先定义一个ShiroConfig配置类,在此类里面创建sessionManager和securityManager对象,并把他们放入IOC中,然后对自定义的过滤器进行定义,主要就是把定义的filter放入到过滤器链中 @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDefinition = new Defaul
shiro集成jwt校验流程总结
mqq2502513332的博客
11-30 602
shiro集成jwt校验流程总结 文章目录shiro集成jwt校验流程总结前言流程总结流程分析 前言 初学者在学习rbac权限模型后,接下来就是集成shiro安全框架和jwt令牌,而这其中的校验逻辑对于初学者还是相当复杂的(指我自己),接下来我将结合自己实际项目代码,对流程进行梳理 流程总结 登录成功后,创建Token,后面的接口调用都要传递Token 接口首先通过shiroFilter过滤,确定是否要进入jwtFilter进行处理 jwtFilter 首先执行isAccessAllowed方法,如果时O
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1112
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
springboot整合shiro+jwt+redis实现登录管理,接口权限控制。根据角色/按钮去控制接口权限
weixin_42557402的博客
03-12 1442
本文的github地址为:https://github.com/guanghuichen/shiro-jwt-redis 疫情期间在家闲的无聊,学习一下shiroJWT的使用,平时工作中虽然一直用到但是始终没有从零到一搭建过,本文基于该github地址https://github.com/dolyw/ShiroJwt的学习文章,本文增加了swagger的本地调试。通过swagger的配置后可以...
使用shiro时,如果正常登陆(执行subject.login(token)成功)就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。...
liuyaokai1990的博客
06-17 3698
使用shiro时,如果正常登陆(执行subject.login(token)成功)就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。之前的项目是OK的,新项目中突然出问题。现在给出我自己问题的解决方案。shiro的配置中有个use-prefix选项,其配置有两点需要注意: 要在配置文件的最上边(或者相关属性的最前边); 一定...
shiro捕捉不到Authoricaton异常进行处理的解决办法
qq_30815659的博客
12-29 2975
AuthenticationException 异常时Shiro内部进行抛出的,全局异常捕获器在 Filter 之后执行,不能正常进行补捕获,只能在 Filter内部进行处理。 解决方案: 自定义的realm抛出错误信息: /*验证这个账号是否被封号了*/ if(userRespository.getBan()==1){ throw new AuthenticationException("账号已被封禁,请联系管理员");
springboot整合 shiro框架 && jwt验证
shaun的博客
08-28 954
shiro + jwt 快速搭建前言一、jwt是什么?1. jwt构成1.1 header1.2 playload1.3 signature2. jwt实现二、shiro是什么?1. shiro的三个核心组件1.1 Subject1.2 SecurityManager1.3 Realm2. shiro的引入2.1 Realm领域类2.2 过滤器2.3 配置类三、jwt的校验和授权总结 前言 一个系统在起步的时候最重要的权限系统,最简单的实现就是通过角色表+菜单表相关联,通过登陆用户的角色查到对应的菜单,
SpringBoot+JWT+Shiro,linux 高级编程面试题
m0_67698950的博客
06-19 350
在软件行业,对于什么是架构,都有很多的争论,每个人都有自己的理解。 此君说的架构和彼君理解的架构未必是一回事。因此我们在讨论架构之前,我们先讨论架构的概念定义,概念是人认识这个世界的基础,并用来沟通的手段,如果对架构概念理解不一样,那沟通起来自然不顺畅。Linux 有架构,MySQL 有架构,JVM 也有架构,使用 Java 开发、MySQL 存储、跑在 Linux 上的业务系统也有架构,应该关注哪一个?想要清楚以上问题需要梳理几个有关系又相似的概念:系统与子系统、模块与组建、框架与架构小伙伴们有兴趣想了解
SpringSecurity+JWT认证流程解析
lt_xiaodou的博客
09-20 325
Bean}复制代码这个Bean是不必可少的,Spring Security在认证操作时会使用我们定义的这个加密器,如果没有则会出现异常。@Bean}复制代码这里将Spring Security自带的authenticationManager声明成Bean,声明它的作用是用它帮我们进行认证操作,调用这个Bean的authenticate方法会由Spring Security自动帮我们做认证。
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 5091
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
Shiro--默认过滤器
IT利刃出鞘的博客
09-02 448
其他网址 shiro url和过滤器处理功能_臣本布衣,躬耕于南阳-CSDN博客
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5935
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
SpringBoot+Shiro+JWT实现授权
帅帅气气的黑猫警长
09-03 1351
SpringBoot+JWT+Shiro实现前后端分离的授权
shiro 认证
快乐的小三菊的博客
05-12 2253
shiro 认证源码探究
JWTShiro框架认证与授权详解
weixin_60414376的博客
01-29 4132
一)JWTShiro基础: 1、单点登录: 了解JWT之前,我们先了解一下JWT的最多应用场景----单点登录。 图中有四个系统,sso只有登录的功能,1系统处理订单,2系统处理购物车,3系统处理用于数据的。如果没有单点登录,管理者就需要登录4次系统输入4次用户名和密码,这就导致我们要输入很多次用户名和密码。于是出现了单点登录,只需要在sso登录一次,然后所有与其绑定的信任系统都不用再次登录就可以使用。 再举一个简单的例子,淘宝和天猫是两个相互信任的系统,你会发现当你登录了天猫或者淘宝之后另一
服务器无法登录之迷——login界面无限循环
rainbowhhyhhy的博客
08-14 4227
1、/etc/security/limits.conf是linux资源使用配置文件,用来限制用户对系统资源的使用。limits.conf文件实际是linux PAM(插入式认证模块,Pluggable Authentication Modules)中pam_limits.so的配置文件,而且只针对于单个会话。2、/etc/security/limits.d/文件夹下定义的文件内容和limits.conf格式一样,但优先级更高,系统默认该目录下面是没有root.conf文件的。。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值