SpringBoot+Shiro+JWT

最新推荐文章于 2024-09-04 23:22:25 发布
最新推荐文章于 2024-09-04 23:22:25 发布
阅读量1k 收藏 4
点赞数
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37375983/article/details/127770406
版权

 JWT

JWT文章:JWT详解_baobao555#的博客-CSDN博客_jwt

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

在本项目中,我们规定每次请求时,需要在请求头中带上 token ,通过 token 检验权限,如没有,则说明当前为未登录状态

Shiro

Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro_MinggeQingchun的博客-CSDN博客_shiro

1,登录

/**
 * 登陆
 *
 * @param username 用户名
 * @param password 密码
 */
@RequestMapping(value = "/login", method = RequestMethod.POST)
public ResultMap login(String username, String password) {
    String realPassword = userMapper.getPassword(username);
    if (realPassword == null) {
        return resultMap.fail().code(401).message("用户名错误");
    } else if (!realPassword.equals(password)) {
        return resultMap.fail().code(401).message("密码错误");
    } else {
        //账号信息认证通过后调用JWT工具类创建Token并返回给前端
        return   resultMap.success().code(200).message(JWTUtil.createToken(username));
    }
}

2,ShiroConfig配置

 

/**
 * 先走 filter ,然后 filter 如果检测到请求头存在 token,则用 token 去 Shiro,走 Realm 去验证
 */
@Bean
public ShiroFilterFactoryBean factory(SecurityManager securityManager) {
    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

    // 添加自己的过滤器并且取名为jwt
    Map<String, Filter> filterMap = new LinkedHashMap<>();
    //设置我们自定义的JWT过滤器
    filterMap.put("jwt", new JWTFilter());
    factoryBean.setFilters(filterMap);
    factoryBean.setSecurityManager(securityManager);
    // 设置无权限时跳转的 url;
    factoryBean.setUnauthorizedUrl("/unauthorized/无权限");
    Map<String, String> filterRuleMap = new HashMap<>();
    // 所有请求通过我们自己的JWT Filter
    filterRuleMap.put("/**", "jwt");


    // 访问 /unauthorized/**,/login,不通过JWTFilter
    filterRuleMap.put("/unauthorized/**", "anon");
    filterRuleMap.put("/login", "anon");
    factoryBean.setFilterChainDefinitionMap(filterRuleMap);
    return factoryBean;
}
/**
 * 自定义身份认证 realm,注入 securityManager
 */
@Bean
public SecurityManager securityManager(CustomRealm customRealm) {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 设置realm.
    securityManager.setRealm(customRealm);
    DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
    DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
    defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
    subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
    securityManager.setSubjectDAO(subjectDAO);
    return securityManager;
}

  3,CustomRealm配置

@Component
public class CustomRealm extends AuthorizingRealm {
    @Autowired
    private UserMapper userMapper;
    /**
     * 必须重写此方法,不然会报错
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("————权限认证————");
        String username = JWTUtil.getUsername(principals.toString());
        SimpleAuthorizationInfo  info = new SimpleAuthorizationInfo();
        //获得该用户角色
        String role = userMapper.getRole(username);
        //每个角色拥有默认的权限
        String rolePermission = userMapper.getRolePermission(username);
        //每个用户可以设置新的权限
        String permission = userMapper.getPermission(username);
        Set<String> roleSet = new HashSet<>();
        Set<String> permissionSet = new HashSet<>();
        //需要将 role, permission 封装到 Set 作为 info.setRoles(), info.setStringPermissions() 的参数
        roleSet.add(role);
        permissionSet.add(rolePermission);
        permissionSet.add(permission);
        //设置该用户拥有的角色和权限
        info.setRoles(roleSet);
        info.setStringPermissions(permissionSet);
        return info;
    }
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    System.out.println("————身份认证方法————");
    String token = (String)authenticationToken.getCredentials();
    String userName= JWTUtil.getUsername(token);
    if(userName==null || !JWTUtil.verify(token, userName)){
        throw new AuthenticationException("token认证失败!");
    }
    // 从数据库获取对应用户名密码的用户
    //String password =getPassword(token.getUsername());
    String password =userMapper.getPassword(userName);
    if (null == password) {
        throw new AuthenticationException("该用户不存在!");
    }
    int ban =userMapper.checkUserBanStatus(userName);
    if (ban == 1) {
        throw new AuthenticationException("该用户已被封号!");
    }
    return new SimpleAuthenticationInfo(token, token, "MyRealm");
}

 

4,JWT过滤器配置

/**
 * 判断用户是否想要登入。
 * 检测 header 里面是否包含 Token 字段
 */
@Override
protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
    HttpServletRequest req = (HttpServletRequest) request;
    String token = req.getHeader("Token");
    return token != null;
}

 

/**
 * 如果带有 token,则对 token 进行检查,否则不通过
 */
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws UnauthorizedException {
    //判断请求的请求头是否带上 "Token"
    if (isLoginAttempt(request, response)) {
        //如果存在,则进入 executeLogin 方法执行登入,检查 token 是否正确
        try {
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
            //token 错误
            e.printStackTrace();
            //responseError(response, e.getMessage());
        }
    }
    //没有token无法通过过滤器。如果是登录接口应该在ShiroConfig那块放行不经过过滤器
    return false;
}

/**
 * 执行登陆操作,即执行CustomRealmdo.GetAuthenticationInfo()身份认证权限
 */
@Override
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
    HttpServletRequest httpServletRequest = (HttpServletRequest) request;
    String token = httpServletRequest.getHeader("Token");
    JWTToken jwtToken = new JWTToken(token);
    // 提交给realm进行登入,如果错误他会抛出异常并被捕获
    getSubject(request, response).login(jwtToken);
    // 如果没有抛出异常则代表登入成功,返回true
    return true;
}

 

5,权限配置

      角色权限注解:@RequiresRoles     权限配置注解:@RequiresPermissions

     经过JWTFilter过滤器和用户身份校验后就进入CustomRealm的权限校验模块

/**
 * 拥有 vip 权限可以访问该页面
 */
@GetMapping("/getVipMessage")
@RequiresRoles(logical = Logical.OR, value = {"admin"})
@RequiresPermissions("vip")
public ResultMap getVipMessage() {
    try {
        return resultMap.success().code(200).message("成功获得 vip 信息!");
    }catch (Exception e) {
        e.printStackTrace();
    }
    return resultMap.success().code(201).message("获得 vip 信息失败!");
}

6,源码地址 

https://gitee.com/lzlgdx/practical-cases.git

身体好饿
关注
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 7594
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
JWTshiro结合实现认证
最新发布
weixin_42564451的博客
09-04 606
JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的最大特点是它是自包含的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能。
springboot+shiro+jwt
staticvoi的博客
12-14 961
JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
SpringBoot+Shiro+JWT实现权限管理
热门推荐
qq_42109746的博客
07-24 1万+
1.为什么使用JWT? 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码...
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
基于SpringBoot+Shiro+JWT+Redis 小R商城 后台管理系统 的后端项目.zip
04-22
基于SpringBoot+Shiro+JWT+Redis+MongoDb+Mysql 进行实现的 主要包括 装修页面、商品管理、订单管理、活动管理、优惠券管理、权限管理等 MySQL 是一款广受欢迎的开源关系型数据库管理系统(RDBMS),由瑞典MySQL AB...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
rainbow_vue:springboot + shiro + jwt + vue全家桶+ redis建造的后台系统脚手架(前端部分)
03-11
springboot + jwt + shiro + vue建造的前端项目 技术交流:QQ--1649471814 项目技术 应用了vue全家桶vue-cli3.0 + vuex axios vue-router elementUi。 项目部署 1.首先安装node和vue的基本环境,自行上网百度。 2.cd...
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot集成ShiroJwt和Redis,使用MyBatisPlus框架实现后台数据库操作。
Shiro+Spring Boot+jwt
qq_53946134的博客
08-09 2802
Shiro+SpringBoot+jwt集成小的Dome+源代码,源代码在最后提示:以下是本篇文章正文内容,下面案例可供参考。
Springboot整合Shiro+JWT
weixin_43424751的博客
04-18 536
在前后端分离的项目中我们通常会采用jwttoken的方式来作为跨域身份验证解决方案。 引入依赖 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!
springboot+jwt+shiro
Swallow的博客
03-28 725
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 引用至百度百科 最近弄一个新的服务,比较简单,整合了一下安全框架 springboot+jwt+shiro还是比较常见的安全框架整合,简单记录一下这次整合过程 首先,pom.xml 文件添加依赖 <!--整合Shiro安全框架-->
SpringBoot整合Shiro+Jwt
Amber_Flying的博客
08-28 1832
springboot整合shiro+jwt 学习博客链接:https://blog.csdn.net/wws_p/article/details/107126321(万分感谢) 一、搭建数据库环境 CREATE DATABASE `shiro`; USE `shiro`; DROP TABLE IF EXISTS `role_per`; CREATE TABLE `role_per` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '表主键
Java专题_01】springboot+Shiro+Jwt整合方案
weixin_40736233的博客
04-02 1万+
Java专题_01】springboot+Shiro+Jwt整合方案
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 1289
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用了 Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值