小程序(二)shiro+jwt登录认证

VIP文章 已于 2023-06-09 15:18:55 修改
阅读量1.2k 收藏 2
点赞数 1
文章标签: java 开发语言
于 2023-02-16 10:45:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38380811/article/details/129054568
版权

文章目录

一、Shiro和JWT技术

Shiro是Java领域非常知名的认证( Authentication )与授权
( Authorization )框架,用以替代JavaEE中的JAAS功能。相
较于其他认证与授权框架,Shiro设计的非常简单,所以广受好
评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security
必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什
么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security框架。

1、Shiro简介

什么是认证?
认证就是要核验用户的身份,比如说通过用户名和密码来检验用户的身份。说简单一些,认证就
是登陆。登陆之后Shiro要记录用户成功登陆的凭证。

什么是授权?
授权是比认证更加精细度的划分用户的行为。比如说一个教务管理系统中,学生登陆之后只能查
看信息,不能修改信息。而班主任就可以修改学生的信息。这就是利用授权来限定不同身份用户
的行为。

Shiro靠什么做认证与授权?
Shiro可以利用 HttpSession 或者 Redis 存储用户的登陆凭证,以及角色或者身份信息。然后利
用过滤器(Filter),对每个Http请求过滤,检查请求对应的 HttpSession 或者 Redis 中的认证
与授权信息。如果用户没有登陆,或者权限不够,那么Shiro会向客户端返回错误信息。
也就是说,我们写用户登陆模块的时候,用户登陆成功之后,要调用Shiro保存登陆凭证。然后查
询用户的角色和权限,让Shiro存储起来。将来不管哪个方法需要登陆访问,或者拥有特定的角色
跟权限才能访问,我们在方法前设置注解即可,非常简单。

2、JWT简介

JWT(Json Web Token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标
准。JWT一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服
务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用
于认证,也可被加密。
在这里插入图片描述
JWT可以用在单点登录的系统中:
传统的 JavaWeb 项目,利用 HttpSession 保存用户的登陆凭证。如果后端系统采用了负载均衡
设计,当用户在A节点成功登陆,那么登陆凭证保存在A节点的 HttpSession 中。如果用户下一
个请求被负载均衡到了B节点,因为B节点上面没有用户的登陆凭证,所以需要用户重新登录,
这个体验太糟糕了。
在这里插入图片描述
如果用户的登陆凭证经过加密( Token )保存在客户端,客户端每次提交请求的时候,把
Token 上传给后端服务器节点。即便后端项目使用了负载均衡,每个后端节点接收到客户端上传
的Token之后,经过检测,是有效的 Token ,于是就断定用户已经成功登陆,接下来就可以提供
后端服务了。
在这里插入图片描述
JWT兼容更多的客户端:
传统的 HttpSession 依靠浏览器的 Cookie 存放 SessionId ,所以要求客户端必须是浏览器。现
在的JavaWeb系统,客户端可以是浏览器、APP、小程序,以及物联网设备。为了让这些设备都
能访问到JavaWeb项目,就必须要引入JWT技术。JWT的 Token 是纯字符串,至于客户端怎么
保存,没有具体要求。只要客户端发起请求的时候,附带上 Token 即可。所以像物联网设备,我
们可以用 SQLite 存储 Token 数据

二、创建JWT工具类

JWT的 Token 要经过加密才能返回给客户端,包括客户端上传的 Token ,后端项目需要验证核
实。于是我们需要一个JWT工具类,用来 加密Token 和 验证Token 的有效性。

1、导入依赖库

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.3.0</version>
        </dependency>
        <!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-starter</artifactId>
            <version>1.5.3</version>
        </dependency>
        <!--hutool jar-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.0.7</version>
        </dependency>

        <!--考虑到Hutool的非强制依赖性,因此zxing需要用户自行引入-->
        <dependency>
            <groupId>com.google.zxing</groupId>
            <artifactId>core</artifactId>
            <version>3.4.0</version>
        </dependency>
        <dependency>
            <groupId>com.google.zxing</groupId>
            <artifactId>javase</artifactId>
            <version>3.4.0</version>
        </dependency>

2、定义密钥和过期时间

我建议大家把密钥和过期时间定义到SpringBoot配置文件中,然后再值注入到JavaBean中,这样
维护起来比较方便。

WeChatMiNi:
  jwt:
    #密钥
    secret: buba123456
    #令牌期时间
    expire: 7
    #令牌缓存时间(天)
    cache-expire: 10

3、创建JWT工具类

package com.buba.wechatmini.common.utils;

/**
 * @author qlx
 */


import com.buba.wechatmini.exception.WechatminiException;
import cn.hutool.core.date.DateField;
import cn.hutool.core.date.DateUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.io.UnsupportedEncodingException;
import java.util.Date;

@Component
@Slf4j
public class JwtUtil {
   
    //密钥
    @Value("${WeChatMiNi.jwt.secret}")
    private String secret;
    //过期时间(天)
    @Value("${WeChatMiNi.jwt.expire}")
    private int expire;

    public String createToken(int userId) throws UnsupportedEncodingException {
   
//         @param date 基准日期
//         @param dateField 偏移的粒度大小(小时、天、月等){@link DateField}
//         @param offset 偏移量,正数为向后偏移,负数为向前偏移
//         @return 偏移后的日期
        Date date = DateUtil.offset(new Date(), DateField.DAY_OF_YEAR,expire).toJdkDate();
        Algorithm algorithm = Algorithm.HMAC256(secret); //创建加密算法对象
        JWTCreator.Builder builder = JWT.create();
        String token = builder.withClaim("userId",userId).withExpiresAt(date).sign(algorithm);
        return token;
    }
    public int getUserId(String token) {
   
        try {
   
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("userId").asInt();
        } catch (Exception e) {
   
            thr
最低0.47元/天 解锁文章
邱秋Elena
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
uniapp和springboot微信小程序开发实战:后端架构搭建之使用shirojwt实现登录认证
xuemeng2016的专栏
06-19 2065
认证就是要核验用户的身份,比如说通过用户名和密码来检验用户的身份。说简单一些,认证就 是登陆。登陆之后Shiro要记录用户成功登陆的凭证。授权是比认证更加精细度的划分用户的行为。比如说一个教务管理系统中,学生登陆之后只能查 看信息,不能修改信息。而班主任就可以修改学生的信息。这就是利用授权来限定不同身份用户 的行为。修改配置文件,增加如下内容jwt:#密钥#令牌过期时间(天)expire: 5#令牌缓存时间(天数)
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
SpringBoot后端实现微信小程序登录JWT校验)
最新发布
Gaomengsuanjia_的博客
04-11 1000
在开始之前我们需要引入一些依赖,其中包括mysql、mybatis、lombok、jjwt、fastjson、wechatpay等等。
厚积薄发打卡Day86: Shiro+JWT+Redis实现微信小程序实现单点登录(下)<整合Shiro
COOLGWAYNE_TECH_BLOG
10-06 600
生成了Token后,这个Token是需要返回给客户端的,用于登录。接下来要把JWTShiro框架整合起来,这样Shiro框架就会拦截所有的Http请求,然后验证请求提交的Token是否有效: 整合步骤: 配置文件:ShiroConfig:把设置应用到Shiro框架 AuthenticatingFilter:拦截HTTP请求,验证Token AuthorizingRealm:自定义认证与授权的实现方法 AuthenticationToken:把 Token封装成认证对象 自底向上实现 封装Token
微信小程序 + shiro 实现登录(安全管理) —— 保姆级教学
Snakehj的博客
04-03 3155
最近,我开发了一个微信小程序,后台使用 Spring 搭建,安全管理交给了 shiro。初次将者结合开发,经验不足,不知如何把者结合起来。在网上搜寻了一阵,查到的资料有限——给的不全,要么是代码臃肿不规范。因此,本博主决定此时抽出半日的空闲为后来者写上一篇完整的 微信小程序 + shiro 如何开发 的文章。 一、开发流程 首先,我们先看一下,微信官方推荐的登录流程,后序的开发就是按这个来的。 1.1 难点及其解决办法 仔细看这张图会发现,我们的难处有两点: 微信小程序不是 web 浏览器。它不会为
从零构建后端项目-配置Shiro+JWT
chengbo_eva的博客
06-20 2097
从零构建后端项目-配置Shiro+JWT 进阶篇
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8106
文章目录一、前情提要、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 4950
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
Shiro框架和JWT
市民景先生
07-11 2400
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录登录Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token)
05-14
使用Shiro+JWT完成的微信小程序登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序登录流程 Shiro的基础知识 JWT以及Token 项目...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
Shiro+JWT
qq_32699009的博客
09-13 2218
apache旗下的一个开源框架,实现用户身份认证,权限授权,加密,会话管理等功能 内容均转载自ShiroJWT MD5加密 概述 MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 也就是0123456789ABCDEF构成的混合数字码 特点 不可逆:相同数据的MD5值肯定一样,不同数据的MD5值不一样。 压缩性:任意长度的数据,算出的MD5值长度都是固定的 弱抗碰撞:已知原数据和MD5值,想找到一个具有相同MD5值是非常
Shiro整合JWT
m0_67391270的博客
03-28 1290
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
Shiro+Jwt总结
m0_51433562的博客
03-19 8750
ShiroJWT整合实现用户的认证和授权
Shiro + JWT权限验证
qq_53021270的博客
11-12 2057
1、什么是Shiro ShiroJava领域非常知名的认证( Authentication )与授权 ( Authorization )框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什 么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5638
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
shiro + JWT
07-27
ShiroJWT是两个不同的技术,可以结合使用来实现认证和授权功能。 Shiro是一个Java领域非常知名的认证和授权框架,用于替代JavaEE中的JAAS功能。相较于其他框架,Shiro设计简单,适用性广泛。任何JavaWeb项目都可以使用Shiro框架,包括非Spring框架的项目,如JFinal和Nutz。Shiro可以用于保存登录凭证、查询用户角色和权限,并通过注解来限制方法的访问权限。\[1\] JWT(JSON Web Token)是一种用于身份验证的技术。传统的HttpSession依赖于浏览器的Cookie存放SessionId,要求客户端必须是浏览器。而JWT的Token是纯字符串,可以被任何客户端使用,包括浏览器、APP、小程序和物联网设备。客户端在发起请求时,只需附带上Token即可,而无需特定的存储方式。例如,物联网设备可以使用SQLite存储Token数据。\[2\] 因此,结合ShiroJWT可以实现更灵活的认证和授权功能。Shiro负责处理用户登录、角色和权限的管理,而JWT负责生成和验证身份令牌。通过结合使用,可以实现跨平台、跨设备的身份验证和授权功能。 #### 引用[.reference_title] - *1* *2* *3* [ShiroJWT简介](https://blog.csdn.net/lad_z/article/details/129240771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值