lumen认证中出现unauthorized._带你实现SpringBoot整合JWT+Shiro进行权限认证「附源码地址」...

最新推荐文章于 2023-06-04 15:07:57 发布
最新推荐文章于 2023-06-04 15:07:57 发布
阅读量292 收藏
点赞数
文章标签: lumen认证中出现unauthorized. 引发了异常: 写入访问权限冲突

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。

一个完整的 Token :eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

在本项目中,我们规定每次请求时,需要在请求头中带上 token ,通过 token 检验权限,如没有,则说明当前为游客状态(或者是登陆 login 接口等)

JWTUtil

我们利用 JWT 的工具类来生成我们的 token,这个工具类主要有生成 token 和 校验 token 两个方法

生成 token 时,指定 token 过期时间 EXPIRE_TIME 和签名密钥 SECRET,然后将 date 和 username 写入 token 中,并使用带有密钥的 HS256 签名算法进行签名

dbcb47bd1420ca28dc6011b4f13ee95c.png

数据库表

f52e131798e5c7ef0d294498e79a5139.png

role: 角色;permission: 权限;ban: 封号状态

ee184a4ac20bfd3f4c1beebd7b6f8d95.png

每个用户有对应的角色(user,admin),权限(normal,vip),而 user 角色默认权限为 normal, admin 角色默认权限为 vip(当然,user 也可以是 vip)

过滤器

我们需要自定义自己的过滤器 JWTFilter,JWTFilter 继承了 BasicHttpAuthenticationFilter,并部分原方法进行了重写

该过滤器主要有三步:

  1. 检验请求头是否带有 token ((HttpServletRequest) request).getHeader("Token") != null
  2. 如果带有 token,执行 shiro 的 login() 方法,将 token 提交到 Realm 中进行检验;如果没有 token,说明当前状态为游客状态(或者其他一些不需要进行认证的接口)
7faa3519f69abccadb5dd60274cf68cb.png
  1. 如果在 token 校验的过程中出现错误,如 token 校验失败,那么我会将该请求视为认证不通过,则重定向到 /unauthorized/**

另外,我将跨域支持放到了该过滤器来处理

Realm 类

  • 身份认证
3a0d9d8dc0ece78a25335f5fae2c07f5.png

拿到传来的 token ,检查 token 是否有效,用户是否存在,以及用户的封号情况

  • 权限认证
4db10673ae9ee9a5b959546b6c78b9a8.png

利用 token 中获得的 username,分别从数据库查到该用户所拥有的角色,权限,存入 SimpleAuthorizationInfo 中

ShiroConfig 配置类

设置好我们自定义的 filter,并使所有请求通过我们的过滤器,除了我们用于处理未认证请求的 /unauthorized/**

36f1eae2449794b35d2b8fee0df6ef63.png

权限控制注解 @RequiresRoles, @RequiresPermissions

这两个注解为我们主要的权限控制注解, 如

5802a54b7debafc4e71e5c19facf3d63.png
54bf8b9404ba4b1304945159ccbde663.png
237f58e9bce4d128433eff74ad36e3d7.png
1f865a2599e3367c5c0b7cc2f7e87704.png

当我们写的接口拥有以上的注解时,如果请求没有带有 token 或者带了 token 但权限认证不通过,则会报 UnauthenticatedException 异常,但是我在 ExceptionController 类对这些异常进行了集中处理

88c690a61b87e8a35341968cc6dab2a4.png

这时,出现 shiro 相关的异常时则会返回

c2df62fbf1990f8c4adebfe7698ee6d8.png

功能实现

用户角色分为三类,管理员 admin,普通用户 user,游客 guest;admin 默认权限为 vip,user 默认权限为 normal,当 user 升级为 vip 权限时可以访问 vip 权限的页面。

具体实现可以看源代码。末尾附上

登陆

登陆接口不带有 token,当登陆密码,用户名验证正确后返回 token。

50d734f475acf142e42fcbfd9209d336.png
bf1c3edd1fa056b72c6f41c6d9c32c4e.png

异常处理

462efa9ea2002b764a154a09b59a2642.png

权限控制

  • UserController(user 或 admin 可以访问)
  • 在接口上带上 @RequiresRoles(logical = Logical.OR, value = {"user
weixin_39577289
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel (Lumen) 解决JWT-Auth刷新token的问题
10-16
今天小编就为大家分享一篇Laravel (Lumen) 解决JWT-Auth刷新token的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Lumen IM 是一个网页版在线聊天项目,前端使用 Naive UI + Vue3,后端采用 GO 开发 .zip
最新发布
04-03
Lumen IM 是一个网页版在线聊天项目,前端使用 Naive UI + Vue3,后端采用 GO 开发。
Spring Boot使用注解的方式实现数据权限控制
m0_71777195的博客
05-19 1318
** * 数据权限过滤注解 * */@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface DataScope{/** * 部门表的别名 */ public String deptAlias() default "";/** * 用户表的别名 */ public String userAlias() default "";
springboot启动新项目,报401错误,需要输入用户、密码登录,但是并没有配置需要登录
qq_35531985的博客
09-22 2768
错误描述 在新建一个项目moudle后,写完了controller、service等package之后,使用postman访问相应api,但是报错401 Unauthorized。在页面访问相应的api,出现登录界面: 但是我记得在该moudle的pom文件并没有配置需要spring-security之类的东西。 解决方法 经过一番查询,给出的解决方案都是跟spring-security有关的,我分析了自己的pom文件配置内容,找到了该moudle的pom文件的父pom,然后在父pom对这个配置进行
SpringBoot项目,访问任意接口提示Unauthorized,返回401,并跳转到登陆页面的错误
IntialJ的博客
11-25 3924
地址栏里的login也是在我输入了自己的接口之后,自动跳转到了login 于是用Postman测试,得到401响应: 当时一脸蒙蔽,心想我代码里面没有写拦截器啊,而且拦截之后的页面也不是我写的。刚开始认为可能和端口有关,后来发现不是。于是想着很有可能是SpringBoot自己默认的拦截。网上找了各种资料,果然,发现项目的pom.xml多了spring-boot-starter-security...
解决Spring Boot 整合Security后,所有接口提示Unauthorized、返回401、 跳转到登陆页面
看山不是山
02-02 7735
SpringBoot只要依赖了Spring Security包后(pom.xml多了spring-boot-starter-security的jar包),默认就已经开启了权限验证,如果当前工程是不需要纳入权限管理的话,就可以直接禁用掉Security的认证。下面是方法: Spring Boot 2.x和Spring Security 5.x前禁用认证 在application.yml或...
基于 VUE全家桶、Lumen 开发的 WEB 评教系统源码+项目说明.zip
03-15
基于 VUE全家桶、Lumen 开发的 WEB 评教系统源码+项目说明.zip基于 VUE全家桶、Lumen 开发的 WEB 评教系统源码+项目说明.zip基于 VUE全家桶、Lumen 开发的 WEB 评教系统源码+项目说明.zip基于 VUE全家桶、Lumen 开发...
:lady_beetle:查看Laravel / Lumen轻松登录浏览器。-Vue.js开发
05-27
在浏览器查看Laravel / Lumen登录。 免责声明该软件包绝不能替代Sentry和Bugsnag等错误跟踪软件或Ray或Xdebug等调试工具。 它只是基于laravel / lumen文件的日志的Web通道。 实时预览访问此处以预览在线游乐场。 ...
基于 VUE全家桶、Lumen 开发的 WEB 评教系统完整源码+说明.zip
03-27
【资源说明】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、...
cf.lumen_V2.72pro.apk
01-16
CF.lumen通过调节屏幕色温来保护视力、改善夜间睡眠的应用。它可以完美解决导航栏及虚拟按键色温的调节,甚至对状态栏也能调节,需要root权限。 比flux的运行速度快很多。 重要的事说三遍:需要root权限、需要root...
有关springboot Unauthorized 问题
m0_67402026的博客
04-28 1193
错误: 原因: springboot 默认的安全策略是开启的(management.security.enabled=true),所以会导致我们访问的时候没有权限,因此我们可以通过management.security.enabled=false,重新启动即可访问 问
springboot~security自定义forbidden和unauthorized返回值
Gefangenes的博客
05-19 428
对于spring-security来说,当你访问一个受保护资源时,需要检查你的token,当没有传递,或者传递的token有错误时,将出现401unauthorized异常;当你传递的token是有效的,但解析后并没有访问这个资源的权限时,将返回403forbidden的异常,而你通过拦截器是不能重写这两个异常消息的,我们下面介绍重写这两种消息的方法。
spring boot 使用 aop技术 实现数据权限过滤
weixin_41765715的博客
04-07 965
spring boot使用aop技术实现数据权限过滤的功能
SpringBoot2.0编写简单的过滤器和拦截器
Stephen GS的博客
05-31 309
SpringBoot2.0编写简单的过滤器和拦截器
SpringBoot自定义拦截器实现权限过滤功能(基于责任链模式)
jike11231的博客
06-04 2399
项目采用Spring Boot 2.7.12 + JDK 8实现权限认证就是一个拦截的过程,所以在实现的时候理论上可以做到任意的配置,对任意接口设置任意规则。考虑到鉴权是一系列顺序执行,所以使用了责任链模式进行设计和实现
rbac权限管理5张表_不用权限框架,基于 Spring Boot 2.x 构建一个最基础的权限系统...
weixin_39928003的博客
12-05 440
本项目是使用SpringBoot2构建的一套基于RBAC权限模型的后台管理系统,前端是微信小程序。项目地址:https://github.com/fuyunwang/DrivingAgency项目的缘由最近接了个外包,主要是针对于驾校开发一个代理小程序。目的是为了方便驾校的管理来招揽学员,同时方便维护学员和代理信息。项目介绍项目业务功能介绍本项目的业务需求比较少,是一个传统项目,核心的业务点是权限...
laravel 使用jwt一些坑,token过期?刷新返回前端?问题多多!
weixin_34221073的博客
10-28 7023
在使用laravel时候 摒弃了自的Auth和passport。主要原因是项目前后端分离,后端写api接口,另外email不做登录选项,password和用户信息存储分开存。在使用JWT过程遇到很多的坑。坑1 不能用JWTAuth静态调用直接 public function xxx (JWTAuth $jwt){ $jwt-...
jwt token 过期刷新_看看Laravel (Lumen) 是如何解决JWT-Auth刷新token问题的
weixin_39946300的博客
12-03 1694
token如何刷新在PHP框架Laravel安装了扩展JWT-Auth,你可能会遇到一个问题,即token该如何刷新。可能很多人都不太理解作者的设计思想,包括我在内,但是看了很多issue之后,你就会慢慢的明白jwt-refresh是如何使用的咯,下面来给大家讲解一下。首先create一个路由,比如“auth/refresh-token” ,你可以指向某个方法,也可以直接写个匿名函数。这里个人是...
详解token过期含义及解决方 token过期是否需要重新登录
专注java二开部署
05-21 3284
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
composer 安装 lumen5.5.*
06-10
要通过 Composer 安装 Lumen 5.5 的版本,你需要按照以下步骤操作: 1. 在你的项目根目录下打开命令行终端,并运行以下命令来初始化 Composer: ``` composer init ``` 2. 在初始化过程,你需要输入一些关于你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值