shiro整合jwt

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量845 收藏 6
点赞数 2
分类专栏: JavaEE 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smallapprentice/article/details/116190215
版权

前言

之前在学习完Jwt之后得相关之后,开始想着Jwt与shiro整合。进入了编码得环节才发现其实并没有那么简单。好了现在就开始记录一下吧。

当然这个整合过程会有一些bug,如果此时你看到了这篇文章,自己也想去整合一下shrio和jwt,那样不妨留下一个评论,多多讨论一下。这样也能大家都能学到一些知识。、

技术栈

Shiro

Jwt

由于是一个Springboot项目,还需要了解Springboot相关得知识。

编码

1、导入shiro和jwt依赖

<!-- 配置 Shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.1</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.1</version>
</dependency>
 <!--日志 -->
<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-log4j12</artifactId>
    <scope>test</scope>
</dependency>
<!-- 配置 JWT -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.1</version>
</dependency>

2、配置shiro

在ShiroConfig中,我们需要配置一下几点

  1. 禁用Session
  2. 增加自定义JwtFilter过滤器,用来拦截请求,使全部的请求或这某些特定的请求由过滤器先行过滤
  3. 自定义JwtRealm,用来数据验证。
package com.feng.config;


import com.feng.shiro.JwtFilter;
import com.feng.shiro.JwtRealm;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.mgt.SessionStorageEvaluator;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
	
	//向spring容器中注入  `JwtRealm`  bean
    @Bean
    public JwtRealm jwtRealm()
    {
        return new JwtRealm();
    }

    //禁用session, 不保存用户登录状态。保证每次请求都重新认证
    @Bean
    protected SessionStorageEvaluator sessionStorageEvaluator()
    {
        DefaultSessionStorageEvaluator sessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        sessionStorageEvaluator.setSessionStorageEnabled(false);
        return sessionStorageEvaluator;
    }


`	//配置安全管理器 SecurityManage
    //并关联上JwtRealm
    @Bean
    public SecurityManager securityManager(JwtRealm jwtRealm)
    {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        //配置Realm
        securityManager.setRealm(jwtRealm);

        //关闭shiro自带得session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        subjectDAO.setSessionStorageEvaluator(sessionStorageEvaluator());
        return securityManager;
    }

    //注意这里是是十分重要的一点,如果没有这个bean,会出现一个关于`securityManager`无效配置的一个错误
    /**
     * 不向 Spring容器中注册 JwtFilter Bean,防止 Spring 将 JwtFilter 注册为全局过滤器
     * 全局过滤器会对所有请求进行拦截,而本例中只需要拦截除 /login 和 /logout 外的请求
     * 另一种简单做法是:直接去掉 jwtFilter()上的 @Bean 注解
     */
    @Bean
    public FilterRegistrationBean<Filter> registration(JwtFilter filter) {
        FilterRegistrationBean<Filter> registration = new FilterRegistrationBean<Filter>(filter);
        registration.setEnabled(false);
        return registration;
    }


    //向spring容器中注入  `JwtFilter`
    @Bean
    public JwtFilter jwtFilter()
    {
        return new JwtFilter();
    }

    //  设置拦截策略链,在这里我们的拦截策略是,所有的请求都由 `JwtFilter` 进行拦截,包括login,
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition()
    {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();
        //filterMap.put("/login", "anon");
        filterMap.put("/**","JwtFilter");   需登录才能访问
        chainDefinition.addPathDefinitions(filterMap);

        return chainDefinition;
    }

    
    /**
	 * 配置访问资源需要的权限
	 */
    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,
                                                         ShiroFilterChainDefinition shiroFilterChainDefinition)
    {
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();

        //设置安全管理器
        filterFactoryBean.setSecurityManager(securityManager);

        //自定义jwt专用过滤器
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("JwtFilter",jwtFilter());
        filterFactoryBean.setFilters(filters);


        Map<String, String> filterChainMap = shiroFilterChainDefinition.getFilterChainMap();
        filterFactoryBean.setFilterChainDefinitionMap(filterChainMap);

        return filterFactoryBean;

    }

}

3、JwtFilter

package com.feng.shiro;

import com.feng.utils.JwtUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
  这里我们自定义的拦截器需要去继承一个   ` AuthenticatingFilter`,并根据我们的需要来重写方法。
*/
public class JwtFilter extends AuthenticatingFilter {

    //从hander中提出Jwt token
    //由于shiro默认的token是`UsernameAndPassword`的形式,所以我们需要改变这样的形式。
    //这里我们需要自定义一个自己的token。
    @Override
    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception
    {
        System.out.println("执行了createToken");
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String authorization = httpServletRequest.getHeader("Authorization");
        if(StringUtils.isEmpty(authorization))
        {
            return null;
        }
        JwtToken token = new JwtToken(authorization);
        return token;
    }

    /**
    每次进行请求时,都会首先 `onAccessDenied`进行捕获,进行判断,如果时初次登录,集request中没有携带token,将会直接被放行,直接进行登录的操作,如果第二次进行请求,那么此时就会对是否由token吗以及token是否正确进行判断。如果不正确,将直接会拦截请求
    */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {

        System.out.println("onAccessDenied执行了");
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String authorization = httpServletRequest.getHeader("Authorization");
        if(StringUtils.isEmpty(authorization))
        {
            return true; //放行
        }
        else
        {
           if(!JwtUtils.verify(authorization,"feng",JwtUtils.SECRET))
           {
               System.out.println("token以失效,请重新登录");
               return false;
               //throw new ExpiredCredentialsException("token以失效,请重新登录");
           }

        }

        return executeLogin(servletRequest,servletResponse);
    }
}

4、JwtToken

package com.feng.shiro;

import org.apache.shiro.authc.AuthenticationToken;

public class JwtToken implements AuthenticationToken {

    private String token;

    public JwtToken(String jwt)
    {
        this.token = jwt;
    }
    @Override
    public Object getPrincipal() {
        return token;
    }

    //凭证信息
    @Override
    public Object getCredentials() {
        return token;
    }
}

5、JwtReanlm

package com.feng.shiro;

import com.feng.utils.JwtUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class JwtRealm extends AuthorizingRealm {

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }


    /**
    当`onAccessDenied`进行判断之后,如果token都正确之后,那么,将会执行`executeLogin`方法,并在其内部调用了`createToken`方法,最终将登陆的数据交给JwtReanlm进行认证。在这里我们为了快速的进行的验证,模拟的是一个假的数据,在真实的开发中,此处就可以链接数据库进行数据库的查询和认证了。
    
    */
    
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException
    {
        System.out.println("开始执行了认证");
        JwtToken jwtToken = (JwtToken) token;
        String username = JwtUtils.getClaimFiled((String)jwtToken.getPrincipal(),"username");
        System.out.println(username);

        if(!username.equals("feng"))
        {
            System.out.println("账户不存在");
            //throw new UnknownAccountException("账户不存在");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, jwtToken.getCredentials(), getName());
        return info;
    }
}

最后我们就可以去开发我们的controller层了。具体的内容在这里就贴出来了,当然这个整合过程会有一些bug,如果此时你看到了这篇文章,自己也想去整合一下shrio和jwt,那样不妨留下一个评论,多多讨论一下。这样也能大家都能学到一些知识。、

好了,下次见

掰棒子的熊
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合ShiroJWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
SpringBoot集成ShiroJwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成ShiroJwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
Shiro+JWT超详解
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2308
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权。 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 876
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6020
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
JWTShiro框架认证与授权详解
weixin_60414376的博客
01-29 3807
一)JWTShiro基础: 1、单点登录: 了解JWT之前,我们先了解一下JWT的最多应用场景----单点登录。 图中有四个系统,sso只有登录的功能,1系统处理订单,2系统处理购物车,3系统处理用于数据的。如果没有单点登录,管理者就需要登录4次系统输入4次用户名和密码,这就导致我们要输入很多次用户名和密码。于是出现了单点登录,只需要在sso登录一次,然后所有与其绑定的信任系统都不用再次登录就可以使用。 再举一个简单的例子,淘宝和天猫是两个相互信任的系统,你会发现当你登录了天猫或者淘宝之后另一
Shiro框架和JWT
市民景先生
07-11 2500
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
在这个项目中,SpringBoot作为基础框架,整合ShiroJWT、数据库和Redis等组件,提供了RESTful API的入口和处理逻辑。 **MySQL数据库** MySQL是广泛使用的开源关系型数据库,用于存储用户信息、权限规则等数据。...
shiroshiro整合JWT——2.如何整合
kevin的博客
06-02 1388
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,我们知道了需要创建JwtTokenJwtUtil、JwtFilter。该篇主要讲如何在shiro框架中,配置Jwt。ps:本文主要以记录核心思路为主。
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 919
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTTokenJwtTokenJWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
Shiro+JWT实现用户登陆认证,权限控制
热门推荐
我的博客
06-05 1万+
shiro用来认证用户及权限控制,jwt用来生成一个token,暂存用户信息。为什么不使用session而使用jwt?传统情况下是只有一个服务器,用户登陆后将一些信息以session的形式存储服务器上,然后将sessionid存储在本地cookie中,当用户下次请求时将会将sessionid传递给服务器,用于确认身份。但如果是分布式的情况下会出现问题,在服务器集群中,需要一个sess...
分布式权限 shiro + jwt + redis(第三期)
qq_21561833的博客
10-30 1390
但是自己这个项目最开始使用的shiro,而且权限对应的角色,菜单都已经写好了,所以主体采用的shiro。使用jwt 标识每个用户的身份。使用redis 存储每个用户的权限。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。在这个realm里面有认证和授权的逻辑。然后可以从jwt字符串中解析出用户的id。生成token,将用户id和锁拥有的权限存储进入redis。
Shiro整合JWT
qq_43654581的博客
10-19 1053
1.整合JWT(JWT能很好的实现单点登录) 表单提交认证,认证成功后返回token,之后的请求携带token进行访问; 之前只需要认证一次,并将用户信息存储到session中; 使用jwt(无状态)之后,每次请求都需要重新认证,不用session,禁用session 2.整合swagger以便测试
Shiro整合JWT
m0_67391270的博客
03-28 1364
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 4620
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5699
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值