Springboot2.x 整合shiro JWT redis 前后端分离

最新推荐文章于 2024-05-27 13:56:04 发布
置顶 最新推荐文章于 2024-05-27 13:56:04 发布
阅读量3k 收藏 57
点赞数 5
分类专栏: springboot shiro JWT 文章标签: springboot shiro jwt 前后端分离
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43223929/article/details/102781943
版权

前言

原文地址:Springboot2.x 整合shiro JWT redis 前后端分离

如果你还对Shiro不太了解,请先看完上个教程:springboot2.x 整合shiro
本文整合shiro与JWT,其中数据库采用 用户->角色->权限 三层,JWT有token和refreshToken,其中refreshToken存储用的是redis,下面我们会一一介绍。

正文

流程

我们先说一遍用户请求的大概流程,其中涉及到了refreshToken的使用,如果不太懂的话可以看一下refreshToken的介绍(在本文下方会提到)。或者你在阅读下面过程中有不懂的,也可以直接跳转到下面的refreshToken介绍。

获取token:
  1. 用户第一次登陆,用户名密码请求登录接口
  2. 登录接口判断是否正确,正确发送Token,并创建refreshToken(包含发布token的时间)定时(过期时间)存储至redis
  3. 修改响应头 Authorization : token
携带 正常token 请求:
  1. 用户携带token请求 需要权限接口
  2. shiro拦截用户请求,验证token是否正确,是否未过期,验证redis中的refreshToken是否匹配传入的Token(两者发布时间是否一致)
  3. 上述验证通过后,根据token中的用户信息获取对应的角色信息和权限信息
  4. 权限信息验证是否与请求所需的权限相同(shiro完成),通过后进入接口返回数据,不通过返回报出权限异常
携带 过期token 请求:
  1. 用户携带过期的token请求(refreshToken确保未过期)需要权限的接口;
  2. shiro拦截用户请求,验证token是否正确,发现已经过期,抛出过期的异常
  3. 拦截器捕获异常,并查找redis中的refreshToken,对比两者是否匹配(两者的签发时间是否一致)
  4. 一致则重新生成新的token,修改响应头 Authorization : token,并修改refreshToken值(过期时间不会被修改)
  5. 再次验证通过后,根据token中的用户信息获取对应的角色信息和权限信息
  6. 权限信息验证是否与请求所需的权限相同(shiro完成),通过后进入接口返回数据,不通过返回报出权限异常

数据库设计

基于RBAC设计的基础权限模型,大家可以自行百度一下RBAC,目前也是非常主流的权限模型,很多权限设计都是由它进行变形:

具体设计:

在这里插入图片描述

Token 与 refreshToken

Token就不写了,自行百度吧…

refreshToken是OAuth2.0中颁布的,用于刷新过期token,减少用户登录次数的一个存储在服务器端的token。

这边放一个链接,这里不再细讲:OAuth2.0关于刷新token的问题

关于刚才流程中的Token问题:

1. 为什么每次验证token都需要与refreshToken匹配?

  • token与refreshToken验证一个是验证token的是不是最新的(签发时间对比),这样也就是可以单点登录

  • 可以通过删除refreshToken达到强制下线的效果。

2. 为什么利用refreshToken刷新token时不刷新refreshToken过期时间?

额…貌似两种思路。我感觉不刷新refreshToken会更好一点,一旦有人盗用了你的token,那么他每隔一段时间请求一下,就可以一直用下去。
所以refreshToken过期需要重新登陆,及时止损…

编写代码

我们不再讲解shiro的基础使用方法,如果你还不知道,需要再看一遍我上一篇的教程:springboot2.x 整合shiro。当然如果你是大佬,你可以点个赞然后按下calt+w了…

引入JWT

        <!--jwt-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.1</version>
        </dependency>

基本的Jwt类

jwt基础类
/**
 * @Author: goodtimp
 * @Date: 2019/10/1 22:22
 * @description :  token
 */
public class JwtToken implements AuthenticationToken {
   
    private String token;

    public JwtToken(String token) {
   
        this.token = token;
    }

    @Override
    public Object getPrincipal(){
   
        return token;
    }

    @Override
    public Object getCredentials(){
   
        return token;
    }
}
jwt工具类

/**
 * @Author: goodtimp
 * @Date: 2019/10/1 22:44
 * @description :  jwt工具类
 */
public class JwtUtil {
   
     /**
     * 验证token是否正确
     *
     * @param token
     * @return
     */
    public static boolean verify(String token) {
   
        try {
   
            String secret = ; // 这个自己要去定义,用来加密token做验证的
            Algorithm algorithm = Algorithm.HMAC256(secret);  // 解密 验证正确性
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (UnsupportedEncodingException e) {
     // 不报异常就是正确的
            logger.error("JWTToken认证解密出现UnsupportedEncodingException异常:" + e.getMessage());
            throw new TokenException("JWTToken认证解密出现UnsupportedEncodingException异常:" + e
最低0.47元/天 解锁文章
goodtimp
关注
  • 5
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
前后端分离权限设计方案:shiro+redis+jwt
weixin_43401380的博客
08-30 1万+
1.postman模拟用户发送请求. 登录接口: 访问登录外的其他接口: 请求头中添加cookie信息: 用户发送每次请求都会校验是否存储的用户认证信息,如果没有则会默认请求访问登录接口 源码如下: AccessControlFilter.java有很多子类,具体走哪个过滤器可以从shiro配置中自行配置,这里配置的是 自定义的PersonalUserFilter(主要作用是根据业务逻辑如果无认证信息就直接异常提示),下面就贴一下这个的源码: ...
spring boot2整合shiro安全框架实现前后端分离JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1313
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
Shiro+Jwt+Redis
最新发布
qq_43907296的博客
05-27 695
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
使用springboot+shiro+mybatis+jwt+Redis完成前后端分离登录案例
ckk4321的博客
01-21 993
application配置 spring: datasource: driver-class-name: com.mysql.jdbc.Driver type: com.alibaba.druid.pool.DruidDataSource url: jdbc:mysql://localhost:3306/companydb username: root password: 123456 redis: database: 2 .
Springboot2 + Shiro + Redis + Jwt 前后端分离整合(1)
miao151515的博客
04-01 3126
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId>
springboot+jwt+shiro集成实现前后端分离的登录认证和拦截
小又夫的博客
11-27 6361
这里是搞前端的菜鸡一个,在公司实习的时候组长给派了个任务,让实现系统的登录认证功能。好在以前做课设的时候有做过相关的功能,所以也不算是为难我。根据我本人的经验选了jwt+shiro+redis来实现登录认证的功能。顺带一提前端是react+umi+dva. 一、思路 使用token作为验证用户是否登录的唯一标识。 用户登录,通过用户名和密码认证,在后端用jwt生成一个token,并将token存...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
SpringBoot集成ShiroJwtRedis
10-24
本教程将深入探讨如何在SpringBoot项目中集成ShiroJwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
springboot整和jwtshiroredis实现token自动刷新
08-19
下面将详细介绍如何在Spring Boot中整合JWTShiroRedis实现Token自动刷新。 JWT是一种轻量级的身份验证机制,它通过在客户端存储一个包含用户信息的令牌,每次请求时都将这个令牌发送到服务器进行验证。JWT由三...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
JWT
m0_46487331的博客
12-14 801
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
shiro+springboot+jwt+redis
weixin_43275578的博客
11-10 934
shiro整合
SpringBoot+Shiro+Jedis+JWT+基于url的权限拦截系统
咚咚大帝的博客
01-25 4989
在众多的开发任务里,权限管理系统开发是常见的也是大部分程序员并着手开发过的系统。在最近的任务,上级要求开发一个通用的基于url的权限控制系统,由于笔者对shiro早有接触,虽然springsecurity的功能强大,与spring易整合但结构复杂组件较多,为了在有限的开发周期内减少学习成本,最后确定技术选型:springboot+shiro+redis+jwt+mybatis+mysql。 ...
springboot集成shiro,使用token登陆,使用redis缓存
myth_g的博客
08-27 1万+
1.准备用户数据,这里我将数据写死存储; public class Constant implements Serializable { public static final String USERNAME = "gaoyang"; public static final String PASSWORD = "123456"; public static final ...
SpringBoot2 学习12 SpringBoot Shiro JWT MybatisPlus 前后完全分离项目 token的实现
心猿意码
09-14 500
登录实现 代码 https://gitee.com/bseaworkspace/springboot2all/tree/master/SpringBootShiroJWT 流程图
Springboot系列之ShiroJWTRedis 进行认证鉴权
在每次的突破中遇见更好的自己
07-16 962
Shiro架构 Apache Shiro是一个轻量级的安全框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛, 而且Shiro的API也是非常简单;其基本功能点如下图所示: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
热门推荐
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
整合shiro+jwt+redis,实现会话共享
weixin_51304175的博客
04-05 2254
第一步:导入shiro-redis的starter包以及jwt的工具包 官方文档:https://github.com/alexxiyang/shiro-redis/blob/master/docs/README.md#spring-boot-starter <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter<.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值