JWT结合Springboot+shiro,session、token同时存在来应对不同的业务场景(物联网设备管理及开放api)...

最新推荐文章于 2024-08-13 00:44:46 发布
最新推荐文章于 2024-08-13 00:44:46 发布
阅读量2.6k 收藏 5
点赞数 1
文章标签: java 嵌入式 json
原文链接:https://my.oschina.net/u/3658506/blog/2985967
版权
本文介绍了如何在物联网设备管理平台中结合JWT和Springboot,以及如何排除Shiro控制,以适应不同的业务场景。通过JWT进行API授权,并详细阐述了JWT的结构和JJWT的使用,以及与Springboot的整合过程,包括拦截器的设置和Shiro的配置调整。
摘要由CSDN通过智能技术生成

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、背景说明

    需求是这样滴:对物联网终端设备以及网关设备进行统一的管理,这里需要一个设备管理平台,同时呢,计划开放API,以供应用开发者调用API来管理控制设备。设备管理平台本身的用的是传统的session来管理,设备管理者数量并不多,所以不会有超量的session给服务器造成太大的压力。开放API给第三方应用用户是为了应对第三方用户开发的各种移动端app以及需要自身维护的设备管理。所以用session就不是那么合适,计划采取token的方式。

    多年以前我用过token这种方式来开发,那时候似乎还没有jwt这个框架,我记得是根据用户名密码生成token后存在数据库中的,每次token进来是需要从数据库中或者提前缓存的token池中来找到匹配的token以确保不是非法请求。

    闲话多了,看看正题。

二、JWT以及JJWT介绍

首先呢,我们可以通过这里来看看JWT是个什么样的东西:https://jwt.io/introduction/  官方说的很清楚了,我就用我蹩脚的英文来给大家解释下:

1、什么是JSON Web Token?

    JSON Web Token (JWT)是一个开放的标准(RFC 7519),它定义了一种简洁独立的方式,以JSON对象的形式在各方之间安全地传输信息。

2、什么时候使用JWT呢?

    授权和信息交换的时候

3、JWT结构介绍

    JWT说白了,就是一串字符串,包含三个部分,三部分之间用“.”来分割。三部分分别是:

  • Header
  • Payload
  • Signature

    最后形成的字符串就像这样:xxxxx.yyyyy.zzzzz

    Header大概就是这样的:

{
  "alg": "HS256",
  "typ": "JWT"
}

    payload就是放内容的,官方叫做claims,这个是啥玩意呢?这玩意是声明一些实体,包括jwt自己已经定义好的特色的声明,还有一些用户加上的声明(我们这些开发者想加上的)以及一些附加数据

    这玩意有三种类型,分别是 registeredpublic, and private claims. Registered Claims就是官方已经定义了的,比如:iss (issuer), exp (expiration time), sub (subject), aud

最低0.47元/天 解锁文章
weixin_34246551
关注
sso单点登录的原理详解,及Shiro同时支持SessionJWT Token两种认证方式,和SessionJWT整合方案
阿啄debugIT
08-25 1142
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
springmvc shiro 同时支持token 前后端分离
wanglj7525的专栏
08-08 351
ApplicationContext.xml配置。在小程序中请求头中带上 authToken
JWT验证,以及限制一个设备登陆
最新发布
wuxiaoyu0806的博客
08-13 297
jwt,即,是一种轻量级的认证的令牌,通常用于身份认证和授权。由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部(Header):JWT 的头部包含了两部分信息:令牌类型(typ)和签名算法(alg),用 Base64 编码后的字符串表示。载荷(Payload):JWT 的载荷包含了一些声明(Claims),用来表示一些实体(主题、发行者、过期时间等)和一些元数据。需要注意的是,载荷中的信息是可以被解码的,因此不要在 JWT 中存储敏感信息。
手牵手带你整合Shiro+JWT实现认证功能
小咸白鱼的博客
11-23 7759
需要对 shirojwt 有一定的了解。 ShiroJWT的区别 ​ 整合之前需要清楚ShiroJWT的区别。 首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生成token的机制,需要我们自己编写相关的生成逻辑。 其次Shiro可以对权限进行管理,JWT在权限这部分也只能封装到token中,需要我们自己实现处理逻辑。 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存session,而是生成t.
Shiro实现sessionjwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 2203
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
Shiro实现session和无状态token认证共存
bbq烤鸡的后宫
01-04 6525
默认shiro鉴权是基于session认证,也能实现无状态Web。项目改造成前后端分离时,在原有的session认证下扩展出一套无状态认证。将问题分离成以下几点 1、拦截无状态请求 2、实现多realm共存 一个realm处理原先的session认证 一个处理无状态认证 3、开启原先的session管理 禁用无状态请求的session管理 否则 一个浏览器同时存在两种请求时会。。。 建一个过滤器拦...
SpringCloud下SessionJWT的使用
thciwei的博客
12-21 1341
作者Gitee地址 https://gitee.com/thciweicloud 作者项目 面包博客,一个微服务架构的前后端分离博客系统。 前段时间面包博客整合第三方登录时需要获取用户的具体信息,并提供给前端使用,想到了使用session,之后发现对于前后端分离项目并不合理,最后采用了token的方式顺畅解决了问题 Session一致性 因为分布式场景session容易不一致,父域和子域session不共享,且网络性能更是重要的一环,在此场景下大致有三种解决方案 1.开启tomcat自带的session
小程序(二)shiro+jwt登录认证
weixin_38380811的博客
02-16 1683
小程序(二)shiro+jwt
shiro + JWT
07-27
ShiroJWT是两个不同的技术,可以结合使用来实现认证和授权功能。 Shiro是一个Java领域非常知名的认证和授权框架,用于替代JavaEE中的JAAS功能。相较于其他框架,Shiro设计简单,适用性广泛。任何JavaWeb项目都...
Java后端常见场景业务问题
weixin_43739821的博客
04-09 1283
单点登录如何实现 权限认证如何实现 上传数据的安全性如何保证 项目日志如何采集 已经上线的bug如何排查 如何快速定位系统瓶颈
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求状态(0:失败;1:成功) messageCode int 详情请移步错误码page message String 提示信息 result Object 结果集 获取token POST /shiro/auth/token 输入参数 必须 类型 中文描述 applicationKey yes String 需要登录的项目key userName yes String 用户名 password yes String 密码 返回Result 类型 中文描述 token String 使用JWT生成的Token 请求示例 cu
uniapp和springboot微信小程序开发实战:后端架构搭建之使用shirojwt实现登录认证
xuemeng2016的专栏
06-19 2173
认证就是要核验用户的身份,比如说通过用户名和密码来检验用户的身份。说简单一些,认证就 是登陆。登陆之后Shiro要记录用户成功登陆的凭证。授权是比认证更加精细度的划分用户的行为。比如说一个教务管理系统中,学生登陆之后只能查 看信息,不能修改信息。而班主任就可以修改学生的信息。这就是利用授权来限定不同身份用户 的行为。修改配置文件,增加如下内容jwt:#密钥#令牌过期时间(天)expire: 5#令牌缓存时间(天数)
Session + JWT + Cookie
qq_25919495的博客
05-29 517
Signature: 使用Header和Payload, 加上服务器的密钥, 按照指定的签名算法生成签名.例如, 使用HMAC SHA-256算法生成签名。完成验证: 如果签名验证通过且JWT未过期, 说明JWT是有效的, 服务器可以信任JWT中的用户信息.提取并解析JWT: 服务器从请求头中提取JWT, 并将其分成Header、Payload和Signature三部分.用户登录 : 用户通过前端提交登录请求(通常包含用户名和密码)到服务器.
分布式Session解决方案_Token + JWT
Gblfy_Blog
02-14 808
文章目录1. 实现流程 1. 实现流程 1.安装redis服务并启动 2.引入Spring Session组件 3.演示同一程序启动8081端口和8082端口模拟2个服务器分布式 4.调用8081登录接口 5.调用8081获取用户信息接口 6.调用8082获取用户信息接口 ...
SessionToken小结
qq_46497604的博客
03-21 693
TokenSessionId的原理是相同的,SessionToken在功能上是相同的,都是为了保持会话。 session Session用于临时保存用户信息,以键值对的格式储存,要取出用户信息就需要相对应的钥匙key,这是用于让服务器知道这个请求来着谁,通过cookie存放sessionid,服务器获取请求的时候就会通过cookie(sessionid)拿到session里面存放的用户信息,这样可以让用户访问资源而不用不断的重新登录session的生命周期是服务器启动到服务器关闭。 sessio.
shirosession认证改成token认证_初步学习Shiro框架 第一集
weixin_39626237的博客
01-25 383
1、什么是ShiroApache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand AP...
springboot+springsecurity+springsession实现session共享
LLstudyJava的博客
06-22 1812
作为一个稀有的Java妹子,所写的所有博客都只是当作自己的笔记,留下证据自己之前是有用心学习的~哈哈哈哈(如果有不对的地方,也请大家指出,不要悄悄咪咪的不告诉我) 一、前言 在工作中遇到多系统时,比如oa人事相关的是独立的系统,在其他系统登录后,在这个系统不应该再让用户重新登录,想实现一次登录,多系统session共享,有很多种实现方式,针对web业务可以使用springsession,如果是移动端业务可以使用jwttoken,今天主要记录spring session。 二、jar包准备 在此之前已经整合
[java]关于Session&关于Token&关于JWT
YJH000_的博客
06-10 900
从软件技术上,可以使用Session机制来识别客户端的身份,当某个客户端第1次向服务器端发起请求,服务器端会生成一个随机的Session ID(本质上是一个UUID值)并响应给客户端,后续,客户端每次请求时,都会携带这个Session ID来访问服务器端,而服务器端的内存中,使用K-V结构记录每个客户端对应的数据,使用Session ID作为Key,所以,每个客户端在服务器端都有一份属于自己的数据,这个数据就是Session。访问官网的主页,就可以看到JWT的数据表现格式 (下图红色框)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值