【shiro】shiro整合JWT——3.执行流程

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: shiro 文章标签: redis java shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42516475/article/details/130728492
版权

前言

shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。
上一篇中,主要讲如何在shiro框架中配置Jwt,以及token执行的流程。
该篇主要梳理整个代码的执行流程。
ps:本文主要以记录核心思路为主,以下都是个人理解,有问题请各位大佬指导一下

根据token的流程,请求主要分为2个情况:

  1. 登录获取token
  2. 携带token请求

1、登录获取token

在shiro+redis+jwt中,Controller层的登录接口不用执行subject.login(token)方法(没有用到Realm的doCredentialsMatch验证,可以参照【Shiro】SimpleAuthenticationInfo如何验证password),而是在Controller层手写了校验方法。

  • 逻辑如下:
	@RequestMapping(value = "/login", method = RequestMethod.POST)
	public xxx返回类 login(@RequestBody SysUser user) throws Exception{
	
	// 1、获取前端请求的 用户名和密码
	
	// 2、校验用户是否有效
		2.1 根据用户名查询数据库,得到用户数据库信息BDUser(用户名,加密密码,盐值...2.2 判断有效性(用户是否存在,是否注销,是否被删除)

	// 3、校验用户名或密码是否正确
		3.1 使用(前端传来的用户名,密码,DBUser.盐值)进行加密计算,得到加密密码
		3.2 判断是否正确,加密密码.equals(DBUser.getPassWord())

	// 4、生成token,并将token存入redis缓存中
	
	// 5、设置xxx返回类对象(主要把token返回去)
	
	}

从上面逻辑可以看出,这个登录接口主要就给前端返回了一个token,并将其存入redis中
这个登录接口,并没有真正进行登录操作subject.login(token),因此也没执行到Realm中的认证。

2、携带token请求

这里主要以流程介绍为主,通过简单的源码说明携带token请求的调用过程。通过【shiro】shiro整合JWT——1.需要创建的类 中的JwtFilter,我们可以看到,主要重写了preHandleisAccessAllowedexecuteLoginonAccessDenied这4个方法(该例子为简单实现)。

在JwtFilter中,这4个方法主要的执行顺序是
preHandle -> isAccessAllowed -> executeLogin -> onAccessDenied

2.1 preHandle

携带token的请求,先会被ShiroConfig中的filterChainDefinitionMap.put("/**", "jwt");给拦截,然后执行到我们定义的JwtFilter中;在JwtFilter中,会根据Filter中具体的doFilter方法实现(这里不细说,后续在细讲)。

/**
     * 对跨域提供支持
     * 过滤器链中拦截请求,判断是否为跨域请求
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        // 判断请求方式是否为跨域请求
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));
            httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
            httpServletResponse.setHeader("Access-Control-Allow-Methods", httpServletRequest.getHeader("Access-Control-Request-Method"));
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            return false;
        }
        // 继续执行过滤器链
        return super.preHandle(request, response);
    }

preHandle方法在最后return了super.preHandle(request, response);,点进去查看,可以发现它重写PathMatchingFilter中的preHandle,然后再回调回了PathMatchingFilter中的preHandle。(看上去有点绕,看下图)
在这里插入图片描述

总结:感觉就是PathMatchingFilter类是主线流程,(重写的)preHandle方法B就是在preHandle方法A中加入我们自定义的内容,然后再继续执行preHandle方法A原有的内容。

顺着源码继续往下梳理流程,先看preHandle的代码,发现执行了isFilterChainContinued方法,里面又执行了onPreHandle方法。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 疑惑:这个重写的是哪个方法?
    回答:我们顺着JwtFilter的继承方法网上查找,如下图;可以发现,是由AccessControlFilter类重写的。在这里插入图片描述
    点进去AccessControlFilter类可以看到我们重写的方法isAccessAllowedonAccessDenied,中间的关系是具有 先后顺序的或。
    在这里插入图片描述

2.2 isAccessAllowed

	/**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        try {
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
            throw new AuthenticationException("Token失效请重新登录");
        }
    }

里面执行了executeLogin方法

2.3 executeLogin

	/**
     * 执行登录
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("ACCESS_TOKEN");

        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获 
        // 这里真正实现shiro的登录,getSubject(request, response)直接SecurityUtils.getSubject()也一样
        getSubject(request, response).login(jwtToken);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

对于getSubject(request, response).login(jwtToken);有疑惑的可以看下【shiro】subject.login(token)流程源码分析

PS:以防万一,遗忘却又没有看,这里根据总结图做下提示,执行getSubject(request, response).login(jwtToken)方法后,就会执行到Realm的认证方法。

2.4 onAccessDenied

根据源码,我们知道isAccessAllowed执行返回为True的话,就不会执行onAccessDenied(也就意味着登录成功,走向realm的两个方法);如果执行返回为False的话,就会执行onAccessDenied,用来处理登录失败的情况。

	/**
     * 如果没有登录,直接返回401未授权提示
     *
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        // 这里是个坑,如果不设置的接受的访问源,那么前端都会报跨域错误,因为这里还没到corsConfig里面
        httpResponse.setHeader("Access-Control-Allow-Origin", ((HttpServletRequest) request).getHeader("Origin"));
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setCharacterEncoding("UTF-8");
        httpResponse.setContentType("application/json; charset=utf-8");
		httpResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
        try {
            // 返回到前端信息
            httpResponse.getWriter().write("未登录或登录失效,请重新登录!");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return false;
    }
Kevinllli
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
sping-boot-shiro-jwt-redis.zip
07-22
springboot整和jwtshiroredis实现token自动刷新
Shiro整合JWT
m0_67391270的博客
03-28 1327
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
Shiro+JWT超详解
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 831
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 902
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。JwtToken (JWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2250
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权。 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
SpringBoot+shiro+redis+jwt .zip
01-03
当我们开发需要简单的鉴权功能时,springboot更快捷、简单的集成JWT,使得项目更加简洁(Compact)、自包含(Self-contained)、安全(security);鉴权的流程为下。
Spring boot整合shiro+jwt实现前后端分离
08-25
import com.serverprovider.config.shiro.jwt.JWTCredentialsMatcher; import com.serverprovider.config.shiro.jwt.JwtToken; import com.serverprovider.service.loginService.LoginServiceImpl; import ...
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot集成ShiroJwtRedis,使用MyBatisPlus框架实现后台数据库操作。
Shiro框架和JWT
市民景先生
07-11 2456
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5689
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 3919
Shiro入门概述与基本使用
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 5446
在 SpringBoot 项目中使用 Shiro 安全框架和 JWT 来进行用户验证与权限控制
Shiro
weixin_45517802的博客
02-19 155
什么是Shiro Apache Shirojava的一个安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,不仅可以用在javaSE环境,也可以用在javaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存。 下载地址:http://shiro.apache.org/ Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,权限验证, 验证某个已认证的用户是否拥有某个权限,判断用户是否能进行操作,如:验
整合token和cookie实现登陆及验证,实现跨域前后端分离
四十岁后转行程序员的博客
06-22 1910
session管理支持cookie token两种方式
shirojwt前后端分离项目集成
Codewarning
10-10 737
在springboot项目中使用shirojwt开发前后端分离项目,编写的demo模板
JWT+shiro+redis整合
yc_Cabbage的博客
08-15 1629
JWT+shiro+redis整合
使用 OAuth 2 和 JWT 为微服务提供安全保障
热门推荐
不想当码农的程序员
06-07 1万+
Part 1 - 理论相关 作者 freewolf关键词 微服务、Spring Cloud、OAuth 2.0、JWT、Spring Security、SSO、UAA写在前面 作为从业了十多年的IT行业和程序的老司机,今天如果你说你不懂微服务,都不好意思说自己的做软件的。SOA喊了多年,无人不知,但又有多少系统开发真正的SOA了呢?但是好像一夜之间所有人都投入了微服务的怀抱。作为目前最主流的“
shiro整合jwt
08-26
Shiro整合 JWT(JSON Web Token),可以实现基于令牌的身份验证和授权机制。下面是一个简单的示例代码,演示了如何在 Shiro 中使用 JWT: 首先,需要创建一个 JWTRealm 类,继承自 Shiro 的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值