SpringBoot整合jwt+shiro

最新推荐文章于 2022-11-14 16:13:41 发布
最新推荐文章于 2022-11-14 16:13:41 发布
阅读量526 收藏
点赞数
文章标签: shiro spring boot jwt 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38064520/article/details/106283941
版权

话不多说,直接上代码

引入依赖如下的依赖,springboot不造怎么构建,请先把springboot玩熟了在回来看吧。

		<!-- JWT依赖 -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
        <!--整合shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

集成JWT

配置类与工具类写在一起,有些人喜欢分开写,看个人呗。

package com.emmmya.harin.config.security.jwt;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.util.Date;

/**
 * JWT的token,区分大小写
 */
@Component
public class JwtConfig {
    @Value("${config.jwt.secret}")
    private String secret;
    @Value("${config.jwt.expire:3600}")
    private long expire;
    @Value("${config.jwt.header}")
    private String header;

    /**
     * 生成token
     * @param subject
     * @return
     */
    public String createToken (String subject){
        //System.out.println(split);
        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);//过期时间

        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(subject)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 获取token中注册信息
     * @param token
     * @return
     */
    public Claims getTokenClaim (String token) {
        try {
            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        }catch (Exception e){
            e.printStackTrace();
            return null;
        }
    }
    /**
     * 验证token是否过期失效
     * @param expirationTime
     * @return true表示过期,false表示没过期。
     */
    public boolean isTokenExpired (Date expirationTime) {
        return expirationTime.before(new Date());
    }

    /**
     * 获取token失效时间
     * @param token
     * @return
     */
    public Date getExpirationDateFromToken(String token) {
        return getTokenClaim(token).getExpiration();
    }
    /**
     * 获取用户名从token中
     */
    public String getUsernameFromToken(String token) {
        return getTokenClaim(token).getSubject();
    }

    /**
     * 获取jwt发布时间
     */
    public Date getIssuedAtDateFromToken(String token) {
        return getTokenClaim(token).getIssuedAt();
    }

    // --------------------- getter & setter ---------------------

    public String getSecret() {
        return secret;
    }
    public void setSecret(String secret) {
        this.secret = secret;
    }
    public long getExpire() {
        return expire;
    }
    public void setExpire(long expire) {
        this.expire = expire;
    }
    public String getHeader() {
        return header;
    }
    public void setHeader(String header) {
        this.header = header;
    }
}

这类里面有依赖注入,我也贴出来给大家看看,secret是我加密过的,不直接展示出来(加密技术是:jasypt,小伙子们可以了解了解)

jwt:
    # 加密密钥
    secret: ENC(3/pMc6HNFuihXbmxwbCgcMyxuiPT8Z9T4u7I9feygcRRXDKkDQNr4yUGpkTP4UoubwLtrY5sW40PS0qXzYk1PQ==)
    # token有效时长(秒)
    expire: 3600
    # header 名称
    header: accept-token

这个对这三个参数做解释:

secret:JWT生成token的加密的密钥。

expire:生token的有时长

header:前端保存token的key名

那么,token的一个整合就弄好了。可以先写个接口来玩一玩了。

@Slf4j
@RestController
@Api("使用shiro+jwt来控制登录")
public class TokenController {
	//注入生成token的工具类
	@Autowired
	JwtConfig jwtConfig;
	/**
     * 用户登录接口
     * @return
     */
    @RequestMapping (value = "/user/login")
     public Result<Object> login(@ReuqestBody User user){
     String token = JwtConfig.createToken(username);
     return ResultUtils.success(token);
}

在这里插入图片描述

{
	code:200,
	message:"success",
	result:"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJIYXJpbiIsImlhdCI6MTU5MDEzODM0OCwiZXhwIjoxNTkwMTQxOTQ4fQ.-FJvZn6P-aOxJFyUad_nLds1zi50ib_cTT8ZEx3227c5MuP53_DQcs0H1sWwFEiFFEXUGGLnC4SDcXXh-I1k9A"
}

result里的数据就是token。这个格式的数据如果不清楚的,请先了解 什么是jwt,戳下面⬇⬇⬇⬇
什么是jwt??

前面我只是说集成进来springboot中,但没有说着运用到项目里了。

想想jwt的作用,那就是作为登录令牌使用。那就是在每次请求中,都需要浏览器传这个参数给后台,辨认该请求时登录过的了(也可以用于单点登录)。

那么,后台需要前端传过来token并校验token有效性。既然每个请求都需要做校验。从学过的技术与结合当前结合的技术来想,可以考虑,过滤器,拦截器两种方式。

把jwt结合到项目中

拦截器写法:

package com.emmmya.harin.interceptor;

import com.emmmya.harin.common.constant.RedisConstant;
import com.emmmya.harin.common.utils.FileNameUtils;
import com.emmmya.harin.common.utils.HResourcesUtils;
import com.emmmya.harin.common.utils.RedisUtil;
import com.emmmya.harin.common.utils.ShiroUtils;
import com.emmmya.harin.config.security.jwt.JwtConfig;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.SignatureException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import org.thymeleaf.util.StringUtils;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.File;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

/**
 * 因为一开始没有redis。所以这个过期时间配置在toekn里面。
 */
@Component
public class JwtTokenInterceptor extends HandlerInterceptorAdapter {
	@Value("${jwt.header}")
	private String header;
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws SignatureException, IOException, ServletException {
        /** 这两个地址,直接放行 */
        String uri = request.getRequestURI();
        System.out.println("JwtTokenInterceptor:"+uri);
        if ("/login".equals(uri) || "/logout".equals(uri) ){
            return true ;
        }
        /** Token 验证 */
        //在请求头中获取token,请求头的名字就是上面配置文件的header值
           String   token = request.getHeader(jwtConfigs.getHeader());
        if(StringUtils.isEmpty(token)){
            throw new SignatureException(jwtConfigs.getHeader()+ "不能为空");
        }

        Claims claims = null;
        try{
            claims = jwtConfigs.getTokenClaim(token);
            if(claims == null || jwtConfigs.isTokenExpired(claims.getExpiration())){
               throw new SignatureException(jwtConfigs.getHeader() + "失效,请重新登录。");
                 }
        }catch (Exception e){
            throw new SignatureException(jwtConfigs.getHeader() + "失效,请重新登录。");
        }

        /** 设置 identityId 用户身份ID */
        request.setAttribute("identityId", claims.getSubject());
        return true;
    }
}

写好拦截器后,需要把拦截器注册到spring中

package com.emmmya.harin.config;

import com.emmmya.harin.common.utils.ShiroUtils;
import com.emmmya.harin.interceptor.CheckTokenInterceptor;
import com.emmmya.harin.interceptor.JwtTokenInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.LocaleResolver;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.i18n.LocaleChangeInterceptor;
import org.springframework.web.servlet.i18n.SessionLocaleResolver;

import java.util.Locale;

@Configuration
public class JwtWebConfig implements WebMvcConfigurer {
    public void addInterceptors(InterceptorRegistry registry) {
        //将jwt拦截器注册到WebMvc里。
     	//拦截所有的请求,所有请求都需要
     	registry.addInterceptor(jwtTokenInterceptor).addPathPatterns("/**");
}

好了,写个接口来测试下。

@Slf4j
@RestController
@Api("使用shiro+jwt来控制登录")
public class TokenController {
	//注入生成token的工具类
	@Autowired
	JwtConfig jwtConfig;
	/**
     * 用户登录接口
     * @return
     */
    @RequestMapping (value = "/user/login")
		public Result<Object> login(@ReuqestBody User user){
     		String token = JwtConfig.createToken(username);
     		return ResultUtils.success(token);
	@RequestMapping(value ="testToken")
		public Result<Object> testToken(){
			return ResultUtils.success("你有token呀?NB喔。");
	}
}
使用postman测试:

不携带Token请求时候。
在这里插入图片描述
这里就会抛出异常,至于异常处理,看你想怎么写了,写个异常页面单独处理也是可以的。

携带Token请求

在这里插入图片描述
在请求头上带上token后再请求。就发现放回的就是接口写好的字符串了。
PS:这个返回接口是单独写好的一个类。你们返回的结果可不一定跟我一样。但是只要看到接口返回的接口就好了。

集成shiro(配合jwt一起使用)

未完,待续.....
Harin黑医
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
学习Spring Boot:(十六)使用ShiroJWT 实现认证服务
追光者的博客
05-06 1万+
前言 需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时access_token进行资源访问。这里我们将使用 JWT 1,基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。该密钥只有服务端知道。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。 认证步骤 客户端第一次使用用户名密码访问认证服务器,服务...
Springboot+Shiro+Jwt实现简单的权限控制
weixin_39158966的博客
04-24 1679
因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。书写顺序。
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6041
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2219
Springboot整合Shiro+JWT实现用户登录认证和权限授权
SpringBoot整合Shiro验证Jwt
m0_51382710的博客
11-14 342
使用SpringBoot整合Shiro对token进行校验
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合ShiroJWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
springboot + jwt + websocket + 拦截
09-02
将这四个技术整合在一起,我们可以构建一个安全且具有实时交互功能的Web应用。具体步骤可能包括: 1. **用户认证**:使用JWT进行用户身份验证。用户登录时,服务器生成一个包含用户信息的JWT并返回给客户端。客户端...
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户鉴权,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
基于SpringBoot+Spring+SpringMvc+Mybatis+Shiro+Redis 开发单点登录管理系统源码
06-19
基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + ...
spring boot 整合JWT+shiro
10-09
在本文中,我们将深入探讨如何将`Spring Boot`与`JWT (JSON Web Token)`和`Shiro`框架整合,以实现安全的身份验证和授权管理。`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,...
SpringBoot整合Shiro+Jwt
Amber_Flying的博客
08-28 1699
springboot整合shiro+jwt 学习博客链接:https://blog.csdn.net/wws_p/article/details/107126321(万分感谢) 一、搭建数据库环境 CREATE DATABASE `shiro`; USE `shiro`; DROP TABLE IF EXISTS `role_per`; CREATE TABLE `role_per` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '表主键
SpringBoot整合Shiro JWT
qq_38245668的博客
04-26 1949
SpringBoot整合Shiro JWT 参考: https://www.jianshu.com/p/9b6eb3308294 https://blog.csdn.net/bicheng4769/article/details/86668209 1:概述 1.1、shiro 一个安全框架,但不只是一个安全框架。它能实现多种多样的功能。并不只是局限在web层。在国内的市场份额占比高于Spri...
springbootshirojwt整合使用
weixin_42404323的博客
06-18 2254
首先shiro做安全框架,将JWT整合shiro的认证和授权中进行使用,最终的目的就是用户在进行登录的时候,验证成功则返回一个token,后面该用户可以通过这个token是访问自己有权限的接口,启动缓存功能,只有第一次认证需要查询DB,后续访问都是访问缓存(分两种,单机版应用使用EhCache,分布式使用redis) 整合思路: 1.构建一个springBoot项目,引入核心依赖并展示核心代码目录 <!--引入ehcache依赖(单机版本缓存用) --> <depen
Shiro + JWT + Spring Boot Restful
qq_24692021的博客
11-23 188
特性 完全使用了 Shiro 的注解配置,保持高度的灵活性。 放弃 Cookie ,Session ,使用JWT进行鉴权,完全实现无状态鉴权。 JWT 密钥支持过期时间。 对跨域提供支持。 准备工作 在开始本教程之前,请保证已经熟悉以下几点。 Spring Boot 基本语法,至少要懂得Controller、RestController、Autowired等这些基本注释。其实看看官方的 Getting-Start 教程就差不多了。 JWT...
shiro内置过滤器研究
热门推荐
mark's technic world
12-02 3万+
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filter.authc.Bas
springMVC中多个拦截器Interceptor的执行顺序
Flyer的后花园
08-24 1万+
   1.springMVC中拦截器实现这个接口implements HandlerInterceptor第一个拦截器: public class MyInterceptor1 implements HandlerInterceptor{       public void afterCompletion(HttpServletRequest arg0,      HttpServletResp...
springbootHandlerInterceptor和Filter区别及使用
杨先森的专栏
11-07 1万+
引言 经常在项目中看到filter和HandlerInterceptor,很时候感觉很像,但那只是那感觉 ,真正可不一样,那它们两个到底兄弟还是陌生人呢?请看下方,让我细细道来, 过滤器(Filter) Servlet中的过滤器Filter是实现了javax.servlet.Filter接口的服务器端程序,主要的用途是设置字符集、控制权限、控制转向、做一些业务...
spring boot使用HandlerInterceptor实现系统权限管理
qq_36526703的博客
08-21 3616
背景 前端效果类似于下图: 父子级菜单分别对应不同的操作权限、访问路径等。 数据库建三张表: 1.operate 页面菜单配置表 id即为权限id,url为菜单对应页面地址,type控制菜单是否显示。 2.action 请求url配置表 action为对应操作请求的url,operate即为对应操作权限,log控制是否打印日志。 3.account用户表 保存用户信...
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 5723
SpringBoot 项目中使用 Shiro 安全框架和 JWT 来进行用户验证与权限控制
springboot+shiro+jwt
最新发布
06-28
springboot+shiro+jwt 是一种常见的后端技术组合,其中 springboot 是一个基于 Spring 框架的快速开发框架,shiro 是一个安全框架,用于身份验证、授权和加密等功能,jwt 是一种基于 token 的身份验证机制,可以用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值