Shiro集成redis和JWT碰到的问题

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量3.6k 收藏 9
点赞数 4
分类专栏: java 文章标签: Shiro Shiro-redis Shiro-JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang124454731/article/details/84260675
版权

对Shiro的使用,一般都会涉及到自定义验证身份的问题。那么就需要实现自己的 AuthorizingRealmAuthorizing是授权的意思, realm 有领域的意思,合起来大概就是自定义实现授权的地方了。

基本的使用教程本文就不讲了,网上有很大。我主要记下自己在集成redis和jwt过程中碰到的几个问题。

一、与redis集成后,redis没有生效的问题。

我们首先要明白redisshiro集成的目的是什么。

当然是管理session啊!使用redis管理session能够方便的实现session集群,并且在服务重启(或服务器重启)时不会丢失session,而且关键使用它来管理session比tomcat强太多了啊。

session的管理可以归为一种Cache,我们在shiro的配置中就要注意这点了。

关键代码,在ShiroConfig

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //设置realm
        securityManager.setRealm(myShiroRealm());
        securityManager.setCacheManager(cacheManager());  //这里放redis的实现
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * cacheManager 缓存 redis实现
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * 配置shiro redisManager
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
//        redisManager.setTimeout(1800);
//        redisManager.setExpire(1800);// 配置缓存过期时间
//        redisManager.setTimeout(0);
        // redisManager.setPassword(password);
        return redisManager;
    }

/**
     * Session Manager
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(redisSessionDAO());
        return sessionManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        // 设置redis缓存过期时间
        redisSessionDAO.setExpire(86400);
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }

我们使用Redis就是为了管理它的session的,这里有shiro-redis的开源插件可以使用。

设置redis的过期时间请注意shiro-redis的版本,最新版3.2.1是在RedisSessionDAO中设置过期时间的,老一些的版本(我不清楚具体什么版本开始改变的)是在RedisManager中设置的。

二、与JWT的集成

如果不用考虑App端调用服务器端的接口问题,可以忽视这个,但如果存在APP端跨域调用接口,并且需要shiro来管理认证时,那么使用Jwt就是个不错的选择了。

在App端使用session是比较麻烦的,而且各种终端的实现方式不一样,有H5的,有原生(Android、ios)的,都是要先拿到服务器端返回的sessionID,再把它塞进其它的请求headers中,安全问题不谈。

由于使用session比较麻烦,那么我只能考虑使用其它的token来解决身份验证的问题子,而JWT就是专门来干这个事的。JWT本身就可以替代session来做身份认证,但这里我已经用了shiro和redis,所以我仅用JWT来做一个加密令牌的工作。

这里有一套已经集成好的项目 Shiro基于SpringBoot +JWT搭建简单的restful服务

基本可以直接拿来即用了。

我讲这个,主要是因为这个项目中没有对密码的存储进行加盐加密处理,仅仅是对用户名和密码进行加密返回了token,在实际的项目中我们通常会对密码进行加密的,所以实现起来就和这个项目中有所不同,我仅截取一些与这个项目中的实现不同的代码。

首先是登录的地方:

User user = userService.selectByField("username", loginRbo.getUsername());
            SimpleHash encryptPwd = new SimpleHash("MD5", loginRbo.getPassword(), 		ByteSource.Util.bytes(user.getSalt()));
            if (!encryptPwd.toHex().equals(user.getPassword())) {
                return authorityFailed("用户名或密码不正确!");
            }
            Subject subject = SecurityUtils.getSubject();
            String token = JWTUtil.sign(user.getId(), user.getPassword());
            JWTToken jwtToken = new JWTToken(token);
            try {
                subject.login(jwtToken);
            } catch (AuthenticationException e) {
                System.out.println(e.getMessage());
                return authorityFailed("用户名或密码不正确!");
            }

我在这里对密码进行了MD5加盐加密,然后因为我的项目中是用redis来管理用户登录的,所以我需要用到subject.login()这个是与redis集成的关键操作。

注意这上面的代码中没有用username+password的组合加密,我用了userId+password,这个只是换了个字段,不过需要把对应的取值也换成userId。

有一个非常值得注意的地方,认证的匹配方式。

我因为已经对密码进行过加密,并且已经实现了除JWT之外的所有代码,所以我的ShiroConfig中关于Realm的配置是这样的:

    /**
     * 身份认证realm
     *
     * @return
     */
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

这里我对MyshiroRealm设置的认证匹配方式是

  /**
     * 凭证匹配器
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("MD5"); // 散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(1); // 散列的次数,比如散列两次,相当于 md5(md5(""));

        return hashedCredentialsMatcher;
    }

但由于使用了JWT的加密后,匹配方式已经不是一个MD5的散列算法了。我如果不改这部分代码就会报一个。 java.lang.IllegalArgumentException: Odd number of characters.

反正就是他匹配不上了。如果有碰到这个问题,多半从匹配算法去找原因。

所以简单的解决方法就是不用这种匹配方式,直接用最简单的匹配方式,也就是不用它进行加、解密了。

那么直接删掉这

myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

就可以了。有以上两个问题解决不了的,可以私密我。

深蓝浅蓝的天
关注
专栏目录
SpringBoot+Shiro学习之数据库动态权限管理和Redis缓存
qq_20954959的博客
02-16 1万+
发现问题,需找解决思路。之前我们整合Shiro,完成了登录认证和权限管理的实现,登录认证没什么说的,需要实现AuthorizingRealm中的doGetAuthenticationInfo方法进行认证,但是我们在实现doGetAuthorizationInfo权限控制这个方法的时候发现以下两个问题: 第一个问题:我们在ShiroConfig中配置链接权限的时候,每次只要有一个新的链接,或则权限需要
spring boot集成shiro+redis+jwt
qq_41015193的博客
03-22 1404
spring boot集成shiro+redis+jwt 集成shiro作为权限校验框架 jwt生成token redis缓冲token和用户相关得一些数据 Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。 添加依赖(数据库和持久层框架根据实际情况添加) <!--redis--> <dependency&g
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot集成ShiroJwtRedis,使用MyBatisPlus框架实现后台数据库操作。
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1164
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
JWT+shiro+redis整合
yc_Cabbage的博客
08-15 1674
JWT+shiro+redis整合
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
shiro整合jwt+redis
零度的博客
09-17 2969
前两篇文章我们整合了shiro+jwt无状态权限验证,这样只把tocken存储在前端,后端只验证Tocken是否合法。 考虑一个问题就是我们在设置了token过期时间之后会使前端用户退出在APP端的话很不友好,而且也不是很安全。 两种业务模式仅供参考: 1.BS架构时 我需要前端在国半小时自动退出,那么我们可以直接使用tocken过期自动退出。 2.在app端我不想让...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
SpringBoot+shiro+redis+jwt .zip
01-03
这个项目实例将帮助开发者理解如何在`SpringBoot`中集成`Shiro`、`JWT`和`Redis`,实现一套完整的鉴权流程。通过对这些组件的实践,开发者可以更深入地掌握Web安全管理和分布式系统中的身份验证策略。
springboot整和jwtshiroredis实现token自动刷新
08-19
在Spring Boot中集成Shiro,我们可以通过编写自定义的Realm,对接JWT的验证逻辑,使得Shiro能够理解和处理JWT令牌。 Redis是一个高性能的键值数据库,可以作为缓存存储JWT令牌。将JWT存储在Redis中,一方面可以减少...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot+shiro+redis整合
03-12
springboot 整合shiro的认证,redis实现session共享案例
Shiro + Redis + Jwt
Yang's Blog
03-23 414
1. ShiroConfig 配置安全管理器 配置Session管理器 配置缓存 配置过滤路径 package com.yang.server.config.shiro; import org.apache.shiro.mgt.DefaultSubjectDAO; import org.apache.shiro.mgt.SessionStorageEvaluator; import org.apache.shiro.mgt.SubjectDAO; import org.apache.shiro..
前后端分离权限设计方案:shiro+redis+jwt
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
框架技术---SpringBoot(八)shiro-redis-jwt整合
qq_41184981的博客
06-30 1051
一、整合流程逻辑 二、整合步骤 1. 导入shiro-redis的starter包:还有jwt的工具包,以及为了简化开发,我引入了hutool工具包。 <!--shiro-redis整合--> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <ver
shiro-redis-jwt整合
qq_41184981的博客
10-31 955
一、整合流程逻辑 二、整合步骤 1. 导入shiro-redis的starter包:还有jwt的工具包,以及为了简化开发,我引入了hutool工具包。 <!--shiro-redis整合--> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <ver
引入shiro-redis包依赖+jwt 配置流程及代码实现
小爽帅到拖网速的博客
04-26 876
引入shiro-redis包依赖+jwt 配置流程及代码实现 路线 导入shiro-redis 依赖之后,就需要根据官方指示去实现两个bean的定义 1、在shiroConifg中定义这两个方法SessionManager and SessionsSecurityManager 2、在注入这两个注解redisSessionDAO and redisCacheManager,并重写上面两个方法 3、我们后端接收的请求都需要走jwtFilter,所以需要在shiroConifg中定义两个跟jwtFilter有关
Shiro实战系列--整合shiro-redis
热门推荐
IT利刃出鞘的博客
10-18 1万+
本文用实例介绍shiro通过引入shiro-redis来缓存权限。使用SpringBoot整合Shiro
Shiro 整合 Redis
web18484626332的博客
08-24 3721
Shiro apache 出品的权限管理框架、Redis 基于内存的 NoSQL(非关系型数据库)非常适合作为 缓存使用。
shiro redis jwt
05-13
shiro redis jwt 是三种常见的安全认证技术。 1. shiro 技术是一个强大的...综上所述,shiro redis jwt 在安全认证方面都各有不同的优点,在业务场景中应根据具体需求选择适合的技术方案,提高系统的安全性和性能。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值