shiro登录成功后返回json_java:shiro应用篇——1

最新推荐文章于 2022-04-23 19:49:55 发布
VIP文章 最新推荐文章于 2022-04-23 19:49:55 发布
阅读量598 收藏 1
点赞数
文章标签: shiro登录成功后返回json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39688875/article/details/111582603
版权

第十章 Springboot+Shiro+Jwt前后端分离鉴权

1、前后端分离会话问题

【1】问题追踪

前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题

【2】解决方案

​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的token生成方案

1、用户登陆之后,获得此时会话的sessionId,使用JWT根据sessionId颁发签名并设置过期时间(与session过期时间相同)返回token2、将token保存到客户端本地,并且每次发送请求时都在header上携带JwtToken3、ShiroSessionManager继承DefaultWebSessionManager,重写getSessionId方法,从header上检测是否携带JwtToken,如果携带,则进行解码JwtToken,使用JwtToken中的jti作为SessionId。4、重写shiro的默认过滤器,使其支持jwtToken有效期校验、及对JSON的返回支持    JwtAuthcFilter:实现是否需要登录的过滤,拒绝时如果header上携带JwtToken,则返回对应json    JwtPermsFilter:实现是否有对应资源的过滤,拒绝时如果header上携带JwtToken,则返回对应json    JwtRolesFilter:实现是否有对应角色的过滤,拒绝时如果header上携带JwtToken,则返回对应json

2、JWT概述

JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。

  • 广义上:JWT是一个标准的名称;
  • 狭义上:JWT指的就是用来传递的那个token字符串

JWT由三部分构成:header(头部)、payload(载荷)和signature(签名)。

  1. Header

存储两个变量

  1. 秘钥(可以用来比对)
  2. 算法(也就是下面将Header和payload加密成Signature)
  3. payload

存储很多东西,基础信息有如下几个

  1. 签发人,也就是这个“令牌”归属于哪个用户。一般是userId
  2. 创建时间,也就是这个令牌是什么时候创建的
  3. 失效时间,也就是这个令牌什么时候失效(session的失效时间)
  4. 唯一标识,一般可以使用算法生成一个唯一标识(jti==>sessionId)
  5. Signature

这个是上面两个经过Header中的算法加密生成的,用于比对信息,防止篡改Header和payload

然后将这三个部分的信息经过加密生成一个JwtToken的字符串,发送给客户端,客户端保存在本地。当客户端发起请求的时候携带这个到服务端(可以是在cookie,可以是在header),在服务端进行验证,我们需要解密对于的payload的内容

3、集成JWT

【1】JwtProperties

​ 用于支持yaml文件配置的配置类

package com.itheima.shiro.config;import lombok.Data;import org.springframework.boot.context.properties.ConfigurationProperties;import java.io.Serializable;/** * @Description:jw配置文件 */@Data@ConfigurationProperties(prefix = "itheima.framework.jwt")public class JwtProperties implements Serializable {    /**     * @Description 签名密码     */    private String hexEncodedSecretKey;}

【2】JwtTokenManager

负责令牌的颁发、解析、校验

package com.itheima.shiro.core.impl;import com.auth0.jwt.JWT;import com.auth0.jwt.JWTVerifier;import com.auth0.jwt.algorithms.Algorithm;import com.itheima.shiro.config.JwtProperties;import com.itheima.shiro.utils.EncodesUtil;import io.jsonwebtoken.Claims;import io.jsonwebtoken.JwtBuilder;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.boot.context.properties.EnableConfigurationProperties;import org.springframework.stereotype.Service;import java.util.Date;import java.util.HashMap;import java.util.Map;import java.util.UUID;@Service("jwtTokenManager")@EnableConfigurationProperties({JwtProperties.class})public class JwtTokenManager {    @Autowired    JwtProperties jwtProperties;    /**     * @Description 签发令牌     *      jwt字符串包括三个部分     *        1. header     *            -当前字符串的类型,一般都是“JWT”     *            -哪种算法加密,“HS256”或者其他的加密算法     *            所以一般都是固定的,没有什么变化     *        2. payload     *            一般有四个最常见的标准字段(下面有)     *            iat:签发时间,也就是这个jwt什么时候生成的     *            jti:JWT的唯一标识     *            iss:签发人,一般都是username或者userId     *            exp:过期时间     * @param iss 签发人     * @param ttlMillis 有效时间     * @param claims jwt中存储的一些非隐私信息     * @return     */    public String IssuedToken(String iss, long ttlMillis,String sessionId, Map claims) {        if (claims == null) {            claims = new HashMap<>();        }        long nowMillis = System.currentTimeMillis();        String base64EncodedSecretKey = EncodesUtil.encodeHex(jwtProperties.getBase64EncodedSecretKey().getBytes());        JwtBuilder builder = Jwts.builder()                .setClaims(claims)                .setId(sessionId)//2. 这个是JWT的唯一标识,一般设置成唯一的,这个方法可以生成唯一标识,此时存储的为sessionId,登录成功后回写                .setIssuedAt(new Date(nowMillis))//1. 这个地方就是以毫秒为单位,换算当前系统时间生成的iat                .setSubject(iss)//3. 签发人,也就是JWT是给谁的(逻辑上一般都是username或者userId)                .signWith(SignatureAlgorithm.HS256, base64EncodedSecretKey);//这个地方是生成jwt使用的算法和秘钥        if (ttlMillis >= 0) {            long expMillis = nowMillis + ttlMillis;            Date exp = new Date(expMillis);//4. 过期时间,这个也是使用毫秒生成的,使用当前时间+前面传入的持续时间生成            builder.setExpiration(exp);        }        return builder.compact();    }    /**     * @Description 解析令牌     * @param jwtToken 令牌     * @return     */    public Claims decodeToken(String jwtToken) {        String base64EncodedSecretKey = EncodesUtil.encodeHex(jwtProperties.getBase64EncodedSecretKey().getBytes());        // 得到 DefaultJwtParser        return Jwts.parser()                // 设置签名的秘钥                .setSigningKey(base64EncodedSecretKey)                // 设置需要解析的 jwt                .parseClaimsJws(jwtToken)                .getBody();    }    /**     * @Description 判断令牌是否合法     * @param jwtToken 令牌
最低0.47元/天 解锁文章
weixin_39688875
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --> default: rememberMe 2020-10-16: 放出来一些功能: 1、spring/tomcat回显,执行命令的时候,x=whoami 就行 2、批量检测是否shiro 3、目标服务器不出网的情况下探测 2020-08-21: 新增了cc8 cc9 cc10利用链 新增了输出payload模式,在执行命令的时候输入output=on即可。 参考下面的示例 2020-05-26: 原来的停止服务了,请下载最新版本。
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
febs_shiro_jwt-master_java_;shiro;jwt_
10-04
基于springboot,shiro,jwt的后台管理系统
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
刘大猫
01-13 1127
CC-ADMIN 后台简介 一个基于 Spring Boot 2.1.3 、 Spring Boot Mybatis plus、 JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
shiro之前后端分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 5899
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
SpringBoot + Shiro + Jwt 实现登录认证,代码分析
passerbyYSQ
08-25 5410
前言 花了几天了解Shiro框架(也不算太深入),根据网上资料做了一个Demo:SpringBoot 2.2.9.RELEASE+ Shiro + Jwt 实现登录认证。 1、这个Demo关注 登录授权(比较通用),基本不涉及权限控制,因为权限控制设计到具体业务。所以可以本Demo可以根据自身实际情况稍加修改,就可以作为前后端分离项目的登录模块。 2、本博客适用于对Shiro和Jwt有了解,起码对于几个关键的类的作用及方法有了解,下面我不会展开,只会对Demo的思路和代码做分析。 思路分析
shiro登录成功返回json_Shiro整合JWT实战
weixin_39992312的博客
12-18 671
JSON Web Token(JWT)是为了在网络应用间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。token可以直接被用于认证,也可被加密。我们在springboot+shiro的基础上,整合jwt模块,对其进行扩展,实现无状态认证加鉴权。JWT实现认证思路:因为要实现无状态,所以jw...
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8119
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
shiro如何返回token给前端_Spring Boot+OAuth2,如何自定义返回的 Token 信息?
weixin_35651855的博客
01-09 653
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。在本系列前面的文章中,正常情况下,OAuth2 返回的 access_token 信息一共包含五项:分别是:access_tokentoken_typerefresh_tokenexpires_inscope具体如下:{"access_token":"b9c9e345...
SpringBoot Shiro 登录成功返回json数据 shiro使用ajax登录
辛晨V的博客
08-19 1148
老规矩,先上代码: protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception { //WebUtils.redirectToSavedRequest(request, response, JSON
ssm-shiro-mysql.rar_JAVA SHIRO
09-21
shro权限脚手架, 下载即导入开发工具即可运行
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis ... (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。  (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。  这当然不是我们
shiro.rar_Java编程_Java_
08-11
基于spring mvc spring data jpa与shiro集成的权限管理,可以对按钮加权限
shiro-jwt登录认证流程
qq_39159736的博客
05-07 1199
https://www.jianshu.com/p/6abc22ec3cb8 https://blog.csdn.net/mine_song/article/details/61616259 shiro+jwt做登录认证和授权认证,不要和我们登录功能搞混。我们的正常登录就是通过LoginControler登录的 而 shiro登录认证是已经登录过后,每次访问资源时我们通过判断token证明该用户携带的token是合法的,授权类似。 很重要的总结。 1. 登录: ...
SpringBoot+Shiro+JWT+Redis+Mybatis-plus 前后端分离实战项目
jmu201821122110
04-24 9222
文章目录前言JWT学习总结什么是JWT?JWT的结构?JWT整合SpringBoot的依赖JWT核心代码配置JWTUtilJWT拦截器全局拦截器配置登陆成功的时候生成JWT token 返回给前端前端如何利用 JWT token项目源码(CodeChina平台)踩过的坑项目运行总结 前言 这篇博客是在我上篇发的 SpringBoot+Shiro+Redis+Mybatis-plus 实战项目 之上添加了JWT认证和前后端分离,所以这篇博客重点是贴出 JWT 学习总结的代码,希望可以帮助到大家! JWT.
shiro使用(增强版token,JWT和shiro结合使用)
热门推荐
特别享受思考问题的过程
05-25 3万+
既然要做,就要做的细致一点,对得起自己! 上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。 上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。 解决思路: 将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。 第一步:编写一个J...
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1250
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
Spring security/Shiro ---登陆成功返回登陆前界面<页面重定向>
koooooooo5的博客
04-08 1266
Spring security ---登陆成功返回登陆前界面<页面重定向> 问题:在登陆/退出成功后,我们往往通过http.formLogin().successForwardUrl()和http.logout().logoutSuccessUrl()设定操作成功后的回跳页面。我们现在希望在任意界面跳转到登陆界面后,一旦登录成功便会返回登陆前的界面。 解决方法:我们自定义一个过滤器,在Spring security将当前页面(假设为P)重定向到登录页面之前,先将当前页面P的url存入对应的Be
HP-Socket编译-Linux
最新发布
05-20
HP-Socket编译-Linux
shiro获取session用户_我配好了shiro登录成功后,怎么在jsp页面获得用户信息
06-10
在jsp页面中,可以通过Shiro提供的Subject对象获取当前用户的信息。具体可以通过以下代码实现: ```jsp <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> <shiro:principal property="username"/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值