【shiro】问题记录--为什么refreshToken方法走不下去

最新推荐文章于 2023-06-02 11:33:29 发布
最新推荐文章于 2023-06-02 11:33:29 发布
阅读量348 收藏
点赞数
分类专栏: shiro 文章标签: java redis 缓存 jwt shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42516475/article/details/130825528
版权

一、前言

最近做Jwt token续签的时候,在很多博客和下载的代码中,都是在JWTFilter中进行token的刷新,于是就按照了网上的代码进行尝试,代码如下:

1. 代码

  1. 在JWTFilter中的isAccessAllowed方法
    目的:就是想通过executeLogin内部的方法,出现了token过期,然后返回TokenExpiredException的异常,就进行refreshToken
 @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        //判断请求的请求头是否带上 "Token"
        if (isLoginAttempt(request, response)){
        	// 省略一些其他操作,主要看以下核心内容
			try {
                 //如果存在,则进入 executeLogin 方法执行登入,检查 token 是否正确
                 executeLogin(request, response);
                 return true;
             }catch (Exception e){
                 /*
                  * 注意这里捕获的异常其实是在Realm抛出的,但是由于executeLogin()方法抛出的异常是从login()来的,
                  * login抛出的异常类型是AuthenticationException,所以要去获取它的子类异常才能获取到我们在Realm抛出的异常类型。
                  * */
                 Throwable cause = e.getCause();
                 if (cause!=null&&cause instanceof TokenExpiredException){
                     //AccessToken过期,尝试去刷新token
                     String result = refreshToken(request, response);
                     if (result.equals("success")) {
                         return true;
                     }
                 }
             }
		}
    	return false;
    }
  1. 在JWTFilter中的refreshToken方法
    目的:刷新token,进行续签。
    PS:这里主要说问题,不做详细说明
	@Autowired
    @Lazy
    private RedisUtil redisUtil;
    
	private Boolean refreshToken(ServletRequest request,ServletResponse response) {
        HttpServletRequest req= (HttpServletRequest) request;
        // 获取传递过来的accessToken
        // 从请求头header中获取字段名为ACCESS_TOKEN的值(也就是我们说的token)
        String token = req.getHeader(CommonConstant.ACCESS_TOKEN);
        // redis中的token 定义前缀+token 为缓存中的key,得到对应的value(cacheToken)
        Object cacheToken = redisUtil.get(CommonConstant.PREFIX_USER_TOKEN + token);

        // 获取token里面的用户名
        String userName = JwtUtil.getUsername(token);

        // 判断refreshToken是否过期了,如果过期了,redis的key将不存在
        if (CommonUtils.isNotEmpty(cacheToken)){
			...
		}

2. 设置

使用的依赖:

		<dependency>
			<groupId>com.auth0</groupId>
			<artifactId>java-jwt</artifactId>
			<version>3.2.0</version>
		</dependency>

为了测试这部分正常使用,设置了token的签证过期时间为1分钟,redis中存储token的过期时间也为1分钟。

PS:看网上都是这样设置的。

二、问题

1. 问题一:e.getCause()获取不到TokenExpiredException

登录获取token后,过了1分钟,在访问接口,断点打在了Throwable cause = e.getCause();,查看捕获的异常为org.apache.shiro.authc.UnknownAccountException: Realm,如下:
在这里插入图片描述
翻译过来就是:找不到提交的AuthenticationToken的帐户数据。
想到token过期就1分钟,好像也对,redis存的过期,token也过期,但是为啥没有获取到TokenExpiredException这个异常?
TokenExpiredException:token过期而抛出的异常。

2. 问题二:refreshToken方法走不下去

  1. 为什么redisUtil为null
  2. 即使redisUtil不为null,但cacheToken也为null

在这里插入图片描述

三、查看源码

  • 从executeLogin往下看源码(问题二)
    这个的代码,主要是执行了Subject接口中的login,详细的可以看下==【shiro】subject.login(token)源码== 这篇文章,这里给出流程图:
    在这里插入图片描述基于以上文章的内容,快步查看源码。

根据 问题 中的截图,对着下面subject.login(token)的流程查看报错信息在哪输出,最后发现在ModularRealmAuthenticator类中。
在这里插入图片描述
该异常主要是因为info返回值为null,具体看下AuthenticationInfo info = realm.getAuthenticationInfo(token);
在这里插入图片描述
这个类大家应该都很熟悉了,看到doGetAuthenticationInfo就是我们在realm中重写的身份验证方法。
这个类中要得到info返回值为null,那就得看getCachedAuthenticationInfo(token)方法。
在这里插入图片描述
在该方法中,主要判断cachetoken是否为null,如果为null那info只能返回null。
PS:这个地方还是有点迷,debug进来会发现,redis即使没有过期,这里的cache还是为null,而且这地方为null,整个流程其实还是正常进行。(这里点以后遇到在继续研究)

四、总结

redis和token同时过期,以上代码就没法进行token续签了。

  1. 问题一
    主要原因是token过期,所以查不到信息,导致返回org.apache.shiro.authc.UnknownAccountException: Realm
    解决一:redis中token过期时间设为20分钟,token签证的过期时间设为1分钟,将两个时间错开可以执行,再去实验,就可以得到TokenExpiredException的异常了。(具体没再往下深究)
  2. 问题二
    2.1 原因:拦截器在bean初始化前执行的,这时候redisUtil是null,需要通过SpringUtils进行反射获取
    2.2 原因:token过期了(问题一中同样的问题)
    解决二:将两个时间错开

PS:全是个人理解,请大佬们指导一下👀

Kevinllli
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt+shiro+redis实现token的自动刷新和token的可控性
zhuzi的博客
08-17 6483
文章目录一、为何要使用jwt+shiro+redis二、AccessTokenRefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessTokenRefreshToken概念说明2-3. 关于Redis中保存RefreshToken信息(做到JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis和实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
springboot整和jwtshiroredis实现token自动刷新
08-19
springboot整和jwtshiroredis实现token自动刷新
shiroshiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 2831
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token的刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5704
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、ShiroJWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro的安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
shiro-all-1.4.2.jar下载
08-21
shirojava安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
解决Shiro jwt并发刷新token问题
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessTokenRefreshToken中的时间戳是否一致,如果一致就重新生成一...
OAuth2.0的refresh token
热门推荐
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
初学shiro遇到的问题:org.apache.shiro.authc.UnknownAccountException:
zhangxucumt的博客
07-20 2093
使用shiro出现的错误: org.apache.shiro.authc.UnknownAccountException: Realm [org.apache.shiro.realm.text.IniRealm@63c12fb0] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - wangwu, rememberMe=fal
前端Token管理(获取、过期处理、异常处理及优化)
赵忠洋的博客
11-22 1万+
文章内容输出来源:拉勾教育大前端高薪训练营; 本文实例代码使用的是vue+axiosÏ 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 请求后台返回的登录数据一般情况如下 { access_token:"加密的字符串", expires_in:"7200", refresh_token:.
记一个shiro报错org.apache.shiro.authc.UnknownAccountException:
weixin_50950554的博客
10-08 898
第一次使用Shiro的小例子报错
shiro使用(使用token)
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
处理token过期的问题,无感知刷新token
qq_60292609的博客
12-06 7663
401错误的场景 有如下两种情况会出现401错误: 未登陆用户做一些需要权限才能做的操作(例如:关注作者),代码会报出401错误。这种情况下,应该让用户回到登陆页。 登录用户的token过期了 整体目标是:通过axios响应拦截器来处理401问题。 理解token过期 登陆成功之后,接口会返回一个token值,这个值在后续请求时通过请求头时带上(就像是开门钥匙)。但是,这个值一般会有有效期(具体是多长,是由后端决定),假如在我这里有效期是2小时。 如果你上午8点登陆成功,到了10:01分,则token
签发的用户认证token超时刷新策略
tomsun28
05-15 3万+
签发的用户认证token超时刷新策略 这个模块分离至上上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 对于登录的用户签发其对应的jwt,我们在jwt设置他的固定有效期时间,在有效期内用户携带jwt访问没问题,当过有效期后jwt失效,用户需要重新登录获取新的jwt。这个体验不太好,好的体验应该是:活跃的用户应该在无感知的情况下在jwt失效后获取到...
Shiro+JWT+Redis做认证,关于token有效期内续期方案
lucay1992的博客
02-09 1795
最近做的项目Springboot+vue前后端分离 还是选用了扩展功能很强大的shiro作为安全框架 并且弃用了shiro的session管理,使用JWT(JSON Web Token)取而代之 现在已经实现登录认证 有个问题是,用户在token有效时间内的正常操作(请求header中携带token的请求)如何刷新token最好? 在网上查了查,我总结出两个方案: 1.第一种方案,单token反复刷新 简单来说就是用户每次访问后台服务,验证老token通过时,会进行jwt续期(重新颁发toke
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值