spring-boot-shiro-jwt-redis实现登陆授权功能

最新推荐文章于 2024-02-17 16:22:41 发布
VIP文章 最新推荐文章于 2024-02-17 16:22:41 发布
阅读量1.8k 收藏 27
点赞数 1
分类专栏: 后端 文章标签: shiro jwt redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39824178/article/details/102622295
版权

一、前言

在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背:

  1. shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。
  2. shiro默认使用的登录拦截校验机制恰恰就是使用的session。

这当然不是我们想要的,因此如需使用shiro,我们就需要对其进行改造,那么要如何改造呢?我们可以在整合shiro的基础上自定义登录校验,继续整合JWT,或者oauth2.0等,使其成为支持服务端无状态登录,即token登录。

二、需求

  1. 首次通过post请求将用户名与密码到login进行登入;
  2. 登录成功后返回token;
  3. 每次请求,客户端需通过header将token带回服务器做JWT Token的校验;
  4. 服务端负责token生命周期的刷新
  5. 用户权限的校验;

三、实现

pom.xml

 		<!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-starter</artifactId>
            <version>1.4.0</version>
        </dependency>

        <!--JWT-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.7.0</version>
        </dependency>

        <!-- Redis -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-pool2</artifactId>
        </dependency>

ShiroConfig

/**
 * shiro 配置类
 */
@Configuration
public class ShiroConfig {
   
    /**
     * Filter Chain定义说明
     * 1、一个URL可以配置多个Filter,使用逗号分隔
     * 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     */
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
   
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/sys/login", "anon"); //登录接口排除
        filterChainDefinitionMap.put("/sys/logout", "anon"); //登出接口排除
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/**/*.js", "anon");
        filterChainDefinitionMap.put("/**/*.css", "anon");
        filterChainDefinitionMap.put("/**/*.html", "anon");
        filterChainDefinitionMap.put("/**/*.jpg", "anon");
        filterChainDefinitionMap.put("/**/*.png", "anon");
        filterChainDefinitionMap.put("/**/*.ico", "anon");

        filterChainDefinitionMap.put("/druid/**", "anon");
        filterChainDefinitionMap.put("/user/test", "anon"); //测试

        // 添加自己的过滤器并且取名为jwt
        Map<String, Filter> filterMap = new HashMap<String, Filter>(1);
        filterMap.put("jwt", new JwtFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        // 过滤链定义,从上向下顺序执行,一般将放在最为下边
        filterChainDefinitionMap.put("/**", "jwt");

        //未授权界面返回JSON
        shiroFilterFactoryBean.setUnauthorizedUrl("/sys/common/403");
        shiroFilterFactoryBean.setLoginUrl("/sys/common/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager
最低0.47元/天 解锁文章
比特币气氛组
关注
  • 1
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
SpringBoot + Redis + Shiro + JWT单点登录主流安全框架
欢迎。
01-29 1853
SpringBoot集成RedisShiroJWT
SpringBoot2.0 整合 Shiro+JWT+Redis 实现图形、短信验证码登陆
m0_67394360的博客
04-08 1125
这里使用到了Redis实现JWT的过期刷新,话不多说,具体的实现代码如下 1.自定义AuthenticationToken类 public final class JwtToken implements AuthenticationToken { private static final long serialVersionUID = 1L; private String jwttoken; public JwtToken(String jwttoken) { super(); thi..
jwt+redis实现登录认证
最新发布
每天学习一点点
02-17 856
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
jwt+shiro+redis实现token的自动刷新和token的可控性
zhuzi的博客
08-17 6367
文章目录一、为何要使用jwt+shiro+redis二、AccessToken和RefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessToken及RefreshToken概念说明2-3. 关于Redis中保存RefreshToken信息(做到JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
springboot+jwt+shiro+redis实现微信小程序oauth2.0登录
gdssgxf的博客
05-13 1301
思路: 微信小程序获取用户授权后能获取到授权code, 前端调用登录接口传给后端code获取用户openid等信息。 登录接口:通过微信api调用getSessionInfo获取openid等基本信息, 获取成功后判断是否为新用户进行登录/新增用户后登录, 通过jwt生成token与refreshToken,将token与refreshToken存入redis中并设置有效期,然后将token与refreshToken返回给前端。 前端每次调用接口在请求头中传入token。 后端使用shiro自定义filte
springboot整合shiro+jwt+redis实现登录管理,接口权限控制。根据角色/按钮去控制接口权限
weixin_42557402的博客
03-12 1329
本文的github地址为:https://github.com/guanghuichen/shiro-jwt-redis 疫情期间在家闲的无聊,学习一下shiroJWT的使用,平时工作中虽然一直用到但是始终没有从零到一搭建过,本文基于该github地址https://github.com/dolyw/ShiroJwt的学习文章,本文增加了swagger的本地调试。通过swagger的配置后可以...
springboot+shiro+redis+jwt模块化开发登录权限校验
weixin_42840756的博客
08-17 1164
springboot+shiro+jwt+redis实现登录模块1.demo项目结构1.1.导入依赖1.2. 登录服务ShiroConfig配置类自定义realm,这里主要定义授权和校验的规则JwtFilter,自定义JWT拦截器1.3管理服务LoginInterceptor管理端拦截器LoginConfigLoginStub 之前在公司的时候一直接触到这个东西,由于是同事写的,而且没有仔细的把流程实现一遍,总是有些一知半解的样子,就自己做了一个小的demo来过一遍流程。我这里使用的是模块化的开发,只涉及到
SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (二) 认证
bai_ye_的博客
07-05 779
项目Github地址:https://github.com/baiye21/ShiroDemo SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (一) 简介与配置 SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (二) 认证 SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (三) 鉴权 SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (四) ..
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 4791
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
spring-boot-api-project-seed:Spring Boot API Project Seed 是一个基于Spring Boot & MyBatis的种子项目,可作为权限脚手架项目,集成Shiro+Redis+JWT+MyBatis-Plus
05-14
简介Spring Boot API Project Seed 是一个基于Spring Boot & MyBatis的种子项目,用于快速构建中小型API、RESTful API项目,该种子项目已经有过多个真实项目的实践,稳定、简单、快速,使我们摆脱那些重复劳动,专注...
jsboot-admin:spring-boot企业项目脚手架
01-29
请先安装对应ide插件特色集成框架(特色功能):基于最新的Spring Boot 2 MySQL的druid数据库连接池附带基础数据结构sql swagger2 api文档Redis aop实现redis分布式锁自由标记Shiro + Redis jwt mybatis / ...
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : ...实现Shiro的Cache(Redis功能: : 项目介绍 RESTful API Maven集成Mybatis Generator(逆向工程) Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码加密(采用AES-128 + Base6
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot集成ShiroJwtRedis,使用MyBatisPlus框架实现后台数据库操作。
微服务权限终极解决方案(spring-cloud-gateway-oauth2)
程序猿辉辉
03-18 7272
spring-cloud-gateway-oauth2 前言 我们理想的微服务权限解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负责处理自己的业务逻辑。安全相关的逻辑只存在于认证服务和网关服务中,其他服务只是单纯地提供服务而没有任何安全相关逻辑。 架构 通过认证服务(oauth2-auth)进行统一认证,然后通过网关(oauth2-gateway)来统一校验认证和鉴权。采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌
Session共享
程序猿辉辉
06-26 5352
session共享
防止表单重复提交
程序猿辉辉
06-26 5058
防止表单重复提交
spring-cloud-sleuth-zipkin实现微服务的链路跟踪
程序猿辉辉
05-22 330
spring-cloud-sleuth-zipkin实现微服务的链路跟踪 简介 在微服务数量较多的系统架构中,一个完整的HTTP请求可能需要经过好几个微服务。如果想要跟踪一条完整的HTTP请求链路所产生的日志,我们需要到各个微服务上去查看日志并检索出我们需要的信息。随着业务发展,微服务的数量也会越来越多,这个过程也变得愈发困难。不过不用担心,spring-cloud-sleuth-zipkin为我们提供了分布式服务跟踪的解决方案。 sleuth: 为我们生成了请求链路信息,虽然我们已经可以通过Trace I
springboot+shiro+jwt+redis
08-18
综上所述,Spring Boot结合ShiroJWTRedis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值