java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API

最新推荐文章于 2022-09-24 17:13:35 发布
最新推荐文章于 2022-09-24 17:13:35 发布
阅读量851 收藏
点赞数
文章标签: java shiro jwt

应用场景:

由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。

使用shiro+ssm+jwt的一些前期准备:

禁用session

JWT实现工具,这个网上可以找到很多,这里就不贴代码了

自定义realm,继承AuthorizingRealm,重写认证和授权两个方法

自定义filter,继承AccessControlFilter,重写方法isAccessAllowed,onAccessDenied

一、首先,禁用shiro的session,先添加shiro的依赖到pom

org.apache.shiro

shiro-core

1.4.0

org.apache.shiro

shiro-web

1.4.0

org.apache.shiro

shiro-spring

1.4.0

org.apache.shiro

shiro-ehcache

1.4.0

二、禁用 session

package com.tg.higo.shiro;

import org.apache.shiro.subject.Subject;

import org.apache.shiro.subject.SubjectContext;

import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;

public class JwtDefaultSubjectFactory extends DefaultWebSubjectFactory {

@Override

public Subject createSubject(SubjectContext context) {

// 不创建 session

context.setSessionCreationEnabled(false);

return super.createSubject(context);

}

}

配置

applicationContext-shiro.xml

三、 重写filter 过滤器

packagecom.tg.higo.shiro;

importcom.tg.higo.common.utils.StringUtil;

importorg.apache.shiro.web.filter.AccessControlFilter;

importorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;

importorg.slf4j.Logger;

importorg.slf4j.LoggerFactory;

importjavax.servlet.ServletRequest;

importjavax.servlet.ServletResponse;

importjavax.servlet.http.HttpServletRequest;

importjavax.servlet.http.HttpServletResponse;

importjava.io.IOException;

importjava.io.UnsupportedEncodingException;

importjava.net.URLEncoder;

public classJwtFilter extendsAccessControlFilter {

/*** 日志对象*/protectedLogger logger= LoggerFactory.getLogger(AdminShiroRealm.class);

/** 1. 返回true,shiro就直接允许访问url* 2. 返回false,shiro才会根据onAccessDenied的方法的返回值决定是否允许访问url* */@Overrideprotected booleanisAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throwsException {

logger.warn("isAccessAllowed 方法被调用");

//这里先让它始终返回false来使用onAccessDenied()方法return false;

}

/*** 返回结果为true表明登录通过*/@Overrideprotected booleanonAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throwsException {

logger.warn("onAccessDenied 方法被调用");

//这个地方和前端约定,要求前端将jwtToken放在请求的Header部分

//所以以后发起请求的时候就需要在Header中放一个Authorization,值就是对应的TokenHttpServletRequest request = (HttpServletRequest) servletRequest;

String jwt = getTokenFromRequest(request);

if(StringUtil.isBlank(jwt)){

onLoginFail(servletResponse);

//调用下面的方法向客户端返回错误信息return false;

}

// String jwt = request.getHeader("Authorization");logger.info("请求的 Header 中藏有 jwtToken {}", jwt);

JwtToken jwtToken = newJwtToken(jwt);

/** 下面就是固定写法* */try{

// 委托 realm 进行登录认证//所以这个地方最终还是调用JwtRealm进行的认证getSubject(servletRequest, servletResponse).login(jwtToken);

//也就是subject.login(token)} catch(Exception e) {

// e.printStackTrace();logger.info(e.getMessage());

onLoginFail(servletResponse);

//调用下面的方法向客户端返回错误信息return false;

}

return true;

//执行方法中没有抛出异常就表示登录成功}

// 从请求中获取 tokenprivateString getTokenFromRequest(ServletRequest request) {

HttpServletRequest req = (HttpServletRequest) request;

returnreq.getHeader("Token");

}

//登录失败时默认返回 401 状态码private voidonLoginFail(ServletResponse response) throwsIOException {

HttpServletResponse httpResponse = (HttpServletResponse) response;

httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

httpResponse.getWriter().write("login error");

}

}

四、重写Realm  ,定义认证,授权

package com.tg.higo.shiro;

import com.tg.higo.common.utils.JwtUtils;

import com.tg.higo.dao.UserDtoMapper;

import com.tg.higo.exception.RRException;

import com.tg.higo.model.UserDto;

import com.tg.higo.model.dto.User;

import org.apache.commons.lang.StringUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import javax.annotation.Resource;

import java.util.HashSet;

import java.util.Set;

public class AdminShiroRealm extends AuthorizingRealm {

/**

* 日志对象

*/

protected Logger logger = LoggerFactory.getLogger(AdminShiroRealm.class);

/*

* 多重写一个support

* 标识这个Realm是专门用来验证JwtToken

* 不负责验证其他的token(UsernamePasswordToken)

* */

@Override

public boolean supports(AuthenticationToken token) {

//这个token就是从过滤器中传入的jwtToken

return token instanceof JwtToken;

}

//认证

//这个token就是从过滤器中传入的jwtToken

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

String jwt = (String) token.getCredentials();

// if (jwt == null) {

//

// throw new NullPointerException("jwtToken 不允许为空");

// }

//判断

// JwtUtils jwtUtil = new JwtUtils();

if (!JwtUtils.validToken(jwt)) {

throw new UnknownAccountException();

}

//下面是验证这个user是否是真实存在的

String username = (String) JwtUtils.decodeToken(jwt).getAccount();//判断数据库中username是否存在

// log.info("在使用token登录"+username);

return new SimpleAuthenticationInfo(jwt,jwt,getName());

//这里返回的是类似账号密码的东西,但是jwtToken都是jwt字符串。还需要一个该Realm的类名

}

// 授权

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

if (principalCollection == null) {

throw new AuthorizationException("PrincipalCollection method argument cannot be null.");

}

User user= JwtUtils.decodeToken(principalCollection.toString());

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

// UserDto user = (UserDto) principalCollection.getPrimaryPrincipal();

//从数据库查询角色

Set roleSet = new HashSet<>();

roleSet.add("ghfhgfg");

authorizationInfo.setRoles(roleSet);

// //从数据库查询权限

Set permsSet = new HashSet<>();

permsSet.add("/account/update/state");

authorizationInfo.setStringPermissions(permsSet);

return authorizationInfo;

}

}

五、 shiro配置文件,applicationContext-shiro.xml

/account/login=anon

/timing/zeroTask=anon

/**=jwt,roles[ghfhgfg1]

六、总结

登录不在走认证,以后每次要授权的接口,先走认证校验是否有效,再去授权

ZHENGYI佳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro禁用Session使用SSM+JWT+Shiro进行状态RESTful API
经验之谈,不做搬运工
01-24 3130
       最近一直在研究Shiro,因为项目里面要使用Shiro进行权限控制。由于项目不只是在Web端运行,还会在移动端App使用,想要使用JWT方式进行状态RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session禁用掉,同时要重新写JWT的过滤器。   说一下,使用shiro+s...
Shiro实现sessionjwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1855
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1771
前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession进行状态管理。 特此记录一下shiro如何进行状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
Shiro关闭session配置
m0_67401761的博客
08-24 599
本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession进行状态管理。特此记录一下shiro如何进行状态管理。
springboot+shiro+jwt实现基于token的无状态授权认证
书生灬今天不吃饭的博客
07-11 1979
springboot+shiro+jwt实现基于token的无状态登录鉴权
ssm:基于RESTful风格的前合并分离的SSM框架,集成了shiro和swagger等框架
02-05
基本框架 基础的SSM框架,集成了shiro作为登陆验证和权限管理...简单来说,前端使用AJAX请求后台接口,后台都数据进行处理后返回给前端,这个过程我们多半使用json格式来传递数据(也可以使用XML等),而对于前端使用V
基于ssm+vue+WEB技术的在线商品交易平台源码数据库文档.zip
最新发布
04-16
9. **安全机制**:项目可能包含了用户认证和授权功能,如JWT(JSON Web Tokens)进行身份验证,以及Spring Security或Apache Shiro进行权限控制。 10. **单元测试与集成测试**:使用JUnit、Mockito等工具对后端服务...
基于ssm+vue师生健康管理系统.zip
03-31
7. **安全考虑**:系统可能实现了身份验证和授权机制,如JWT(JSON Web Token)进行用户身份验证,Spring Security或Apache Shiro进行权限控制,保护师生的健康信息不被非法访问。 8. **数据安全**:对于敏感的师生...
基于ssm+vue公司人力资源管理系统.zip
03-31
此外,系统的安全方面也不容忽视,可能使用Spring Security或者Shiro进行权限控制,确保只有授权的用户才能访问特定资源。在登录认证上,可能会实现基于token的身份验证机制,如JWT(JSON Web Tokens),以提高安全...
基于ssm+vue的搬家预约系统.zip
03-27
可以采用JWT(JSON Web Token)进行用户认证,使用Spring Security或Shiro进行权限控制。 7. **事务管理**: - 在处理预约、支付等业务时,需要考虑事务的ACID(原子性、一致性、隔离性、持久性)特性,确保数据...
常见web安全问题及解决方案
qq_42569946的博客
09-24 1443
web应用程序常见安全问题及解决方案,如:session劫持、session固定、xss攻击、CSRF跨站请求伪造
shiro使用sessiondao不使用sessionid_Shiro安全框架入门使用方法
weixin_42097533的博客
01-22 336
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能:Authentication:用户认证(登录)Authorization:权限控制Session Management:会话管理Cryptograph...
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 444
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
整合Shiro SessionJWT登录
zollty的专栏
08-26 1455
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。 JWT登录的原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证成功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
Tomcat禁用Session
沧海桑田的博客
09-14 3981
1.禁用session的必要性 I.请求和响应过程中session对象相关操作 Tomcat在首次接收客户端请求时会自动在JVM中创建session对象 session的主要作用是标记和保持会话,每个session有唯一的32位16进制大写字符串格式的sessionId,Tomcat使用Map对象存储每一个session对象,其key正是sessionId 在响应到客户端的信息中,tomcat...
Tomcat如何禁用session
f365420465的博客
08-07 1004
有时候我们不需要用到session,而session在tomcat中是属于关键功能,它在启动的时候会自动创建,这样就会消耗一定的内存空间,如果访问量大了session就会产生很多。这样也不利于我们进行分布扩展。 JSESSIONID的产生机制 tomcat只有在程序中使用了 xxx.getSession() 的时候才会创建session(JSESSIONID是它的标识),其他任何时候都不会主动去创建。 这个时候有人问了,我的程序里明确没有调用 xxx.getSession(),为什么还会创建ses.
java 禁用session_tomcat 禁用session
weixin_39995108的博客
02-19 354
我们先来做一个实验,用jmeter对tomcat下的一个jsp页面做压测:(1)jsp的内容非常简单,1.jsp:1.jspthisis1.jsp没有任何复杂的处理,只是一个非常简单的jsp页面。我们知道,tomcat默认会给每一个jsp都启用session的。(2)我们给tomcat设置启动参数,修改catalina.bat,添加:set JAVA_OPTS=%JAVA_OPTS% -Xms...
java的实现权限控制shiro jwt.docx
07-02
本文档主要介绍了如何在Java项目中使用Apache ...本文档详细介绍了如何使用JavaShiro结合JWT技术实现RESTful API的权限控制,包括数据模型设计、JWT工具类的实现以及与Shiro的集成,确保了API的安全性和可扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值