JWT与shiro结合实现认证

于 2024-09-04 23:22:25 发布
阅读量609 收藏 10
点赞数 10
分类专栏: 项目相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42564451/article/details/141906750
版权

随着微服务架构的普及和前后端分离的趋势,越来越多的项目开始采用无状态的认证机制,其中JSON Web Token(JWT)成为了一种流行的选择。与此同时,Apache Shiro作为一个强大且易于使用的Java安全框架,仍然被广泛应用于企业级应用的安全管理中。

1. JWT简介

JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的最大特点是它是自包含的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。

2. Apache Shiro概述

Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能。Shiro的设计目的是让开发人员能够轻松地处理安全相关的问题,而无需深入理解底层的安全细节。Shiro支持多种认证机制,包括传统的基于会话的认证以及无状态的认证,如JWT。

3. JWT与Shiro的集成

要在Java项目中使用JWT和Shiro,需要完成以下几个步骤:

3.1 引入依赖

首先,在项目的pom.xml文件中添加Shiro和JWT相关的依赖库。例如,使用jjwt库来处理JWT操作:

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.7.1</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-api</artifactId>
        <version>0.11.2</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-impl</artifactId>
        <version>0.11.2</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-jackson</artifactId>
        <version>0.11.2</version>
    </dependency>
</dependencies>
3.2 配置Shiro

接下来,需要配置Shiro以支持JWT。这通常涉及到创建自定义的Realm来处理JWT认证逻辑,并设置过滤器链来决定哪些URL需要认证。

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JwtRealm extends AuthorizingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String jwt = (String) token.getPrincipal();
        Claims claims = Jwts.parser()
                .setSigningKey("your-secret-key")
                .parseClaimsJws(jwt)
                .getBody();

        // 验证JWT有效性...
        if (claims != null) {
            return new SimpleAuthenticationInfo(claims.getSubject(), jwt, getName());
        }

        throw new AuthenticationException("Invalid JWT token");
    }
}
3.3 创建JWT

为了生成JWT,可以利用io.jsonwebtoken库提供的方法:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public String createJwt(String username) {
    return Jwts.builder()
            .setSubject(username)
            .signWith(SignatureAlgorithm.HS256, "your-secret-key")
            .compact();
}
3.4 验证JWT

每当收到客户端的请求时,都需要验证JWT是否有效。这通常在过滤器中实现:

import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class JwtFilter extends BasicHttpAuthenticationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Authorization");

        try {
            if (token == null || !validateToken(token)) {
                return false;
            }
        } catch (Exception e) {
            return false;
        }

        return true;
    }

    private boolean validateToken(String token) {
        // 在这里实现JWT验证逻辑...
        return true; // 示例代码
    }
}
4. 总结

通过上述步骤,可以在Java项目中实现基于JWT和Shiro的安全认证机制。这种做法的好处在于它不仅简化了认证过程,而且提高了系统的可扩展性和安全性。需要注意的是,实际项目中还需要考虑更多的细节,比如JWT的过期处理、刷新机制等。此外,为了保证安全性,应该使用足够复杂的密钥,并且定期更换密钥。

shiro实现jwt
cmm1的博客
10-24 2295
这里只实现jwtshiro实现前面文章有,先实现shiro实现jwtjwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取...
jwt结合shiro实现认证和权限控制,非常详细
热门推荐
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
shiro-jwt:shiro 结合 jwt 实现权限认证
05-14
shiro-jwt shiro 结合 jwt 实现权限认证
shiroJWT
m0_54853420的博客
04-07 1156
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 1295
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用了 Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
Shiro整合JWT
m0_67391270的博客
03-28 1455
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
springboot整和jwtshiro、redis实现token自动刷新
08-19
ShiroJava的一个安全框架,提供了会话管理、权限控制、身份认证等特性,与Spring Boot结合可以轻松实现权限控制。在Spring Boot中集成Shiro,我们可以通过编写自定义的Realm,对接JWT的验证逻辑,使得Shiro能够...
手把手教你Shiro整合JWT实现登录认证
最新发布
Huangjiazhen711的博客
10-25 5971
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、...
springboot集成jwtshiro实现前后端分离权限demo
04-04
本示例项目“springboot集成jwtshiro实现前后端分离权限demo”旨在帮助初学者理解如何在Spring Boot环境下结合JWT(JSON Web Token)和Shiro进行权限管理,以实现安全的Web应用。下面将详细介绍相关的知识点。 **...
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8995
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Shiro框架和JWT
市民景先生
07-11 2873
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
Shiro 整合jwt
03-09 719
前言 之前在学习完Jwt之后得相关之后,开始想着Jwtshiro整合。进入了编码得环节才发现其实并没有那么简单。好了现在就开始记录一下吧。 当然这个整合过程会有一些bug,如果此时你看到了这篇文章,自己也想去整合一下shrio和jwt,那样不妨留下一个评论,多多讨论一下。这样也能大家都能学到一些知识。 技术栈 Shiro Jwt 由于是一个Springboot项目,还需要了解Springboot相关得知识。 编码 1、导入shirojwt依赖 <!-- 配置 Shiro --> <de
Shiro之整合JWT
qq_43654581的博客
10-19 1119
1.整合JWT(JWT能很好的实现单点登录) 表单提交认证认证成功后返回token,之后的请求携带token进行访问; 之前只需要认证一次,并将用户信息存储到session中; 使用jwt(无状态)之后,每次请求都需要重新认证,不用session,禁用session 2.整合swagger以便测试
Shiro+JWT
qq_32699009的博客
09-13 2276
apache旗下的一个开源框架,实现用户身份认证,权限授权,加密,会话管理等功能 内容均转载自ShiroJWT MD5加密 概述 MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 也就是0123456789ABCDEF构成的混合数字码 特点 不可逆:相同数据的MD5值肯定一样,不同数据的MD5值不一样。 压缩性:任意长度的数据,算出的MD5值长度都是固定的 弱抗碰撞:已知原数据和MD5值,想找到一个具有相同MD5值是非常
Shiro + JWT权限验证
qq_53021270的博客
11-12 2169
1、什么是Shiro ShiroJava领域非常知名的认证( Authentication )与授权 ( Authorization )框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什 么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security
Spring-boot与Shiro整合实现JWT身份验证详解
在Spring Boot应用中,集成ShiroJWT可以帮助我们构建安全、高效的用户认证与授权系统。JWT是一种轻量级的、用于身份验证和授权的开放标准,它允许我们在客户端和服务器之间传递安全信息,而无需在服务器端存储会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值