Springboot整合Shiro+JWT

最新推荐文章于 2024-06-14 14:16:40 发布
最新推荐文章于 2024-06-14 14:16:40 发布
阅读量435 收藏 5
点赞数
分类专栏: Spring Boot学习 Shrio学习 文章标签: spring boot shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43424751/article/details/115822985
版权

在前后端分离的项目中我们通常会采用jwttoken的方式来作为跨域身份验证解决方案。

引入依赖

<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis-spring-boot-starter</artifactId>
    <version>3.2.1</version>
</dependency>

<!-- jwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

在配置文件中配置我们的jwt信息

petrichor:
  jwt:
    # 加密秘钥
    secret: f4e2e52034348f86b67cde581c0f9eb5
    # token有效时长,7天,单位秒
    expire: 604800
    header: token

准备一个jwt工具类,用来生成或解析jwt

@Slf4j
@Data
@Component
@ConfigurationProperties(prefix = "petrichor.jwt")// 绑定配置文件中的配置
public class JwtUtils {

    private String secret;// 盐
    private long expire;// 有效时长
    private String header;

    /**
     * 生成jwt token
     */
    public String generateToken(long userId) {
        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId+"")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    // 解析
    public Claims getClaimByToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            log.debug("validate is token error ", e);
            return null;
        }
    }

    /**
     * token是否过期
     * @return  true:过期
     */
    public boolean isTokenExpired(Date expiration) {
        return expiration.before(new Date());
    }
}

准备一个JwtToken类用来将生成的jwt保存在token中

// 将JWT保存在token中,shiro默认supports的是UsernamePasswordToken,而我们现在采用了jwt的方式,所以这里我们自定义一个JwtToken
public class JwtToken implements AuthenticationToken {

    private String token;

    public JwtToken(String jwt) {
        this.token = jwt;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

jwt过滤器

因为 JWT 的整合,我们需要自定义自己的过滤器 JWTFilter

@Component
// 继承的是Shiro内置的AuthenticatingFilter,内置了可以自动登录方法的过滤器
public class JwtFilter extends AuthenticatingFilter {

    @Autowired
    JwtUtils jwtUtils;

    @Override
    // 实现登录,生成自定义支持的JwtToken
    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String jwt = request.getHeader("Authorization");// 从请求头中拿到JWT
        if(StringUtils.isEmpty(jwt)) {// 判断JWT是否为空
            return null;
        }

        return new JwtToken(jwt);// 不为空则生成token
    }

    @Override
    // 拦截校验
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String jwt = request.getHeader("Authorization");
        if(StringUtils.isEmpty(jwt)) {// 当这个请求没有JWT时,就不需要交给shiro做登录处理,直接交给注解进行拦截,可以访问一些无需登录就可以访问的接口
            return true;
        } else {

            // 校验jwt, jwt用Claims对象来存自定义的信息
            Claims claim = jwtUtils.getClaimByToken(jwt);// 解析
            if(claim == null || jwtUtils.isTokenExpired(claim.getExpiration())) {
                throw new ExpiredCredentialsException("token已失效,请重新登录");
            }

            // JWT没问题就可以交给shiro执行登录
            return executeLogin(servletRequest, servletResponse);
        }
    }

    @Override
    // 登录失败,出现异常时,把异常信息封装然后抛出
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {

        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        Throwable throwable = e.getCause() == null ? e : e.getCause();
        Result result = Result.fail(throwable.getMessage());
        String json = JSONUtil.toJsonStr(result);// 将对象转化未json

        try {
            httpServletResponse.getWriter().print(json);
        } catch (IOException ioException) {

        }
        return false;
    }
}

代码中的Result类是我们自己封装的一个结果集

@Data
// 统一结果封装
public class Result implements Serializable {
    private int code; // 200是正常,非200表示异常
    private String msg;
    private Object data;

    public static Result succ(Object data) {
        return succ(200, "操作成功", data);
    }

    public static Result succ(int code, String msg, Object data) {
        Result r = new Result();
        r.setCode(code);
        r.setMsg(msg);
        r.setData(data);
        return r;
    }

    public static Result fail(String msg) {
        return fail(400, msg, null);
    }

    public static Result fail(String msg, Object data) {
        return fail(400, msg, data);
    }

    public static Result fail(int code, String msg, Object data) {
        Result r = new Result();
        r.setCode(code);
        r.setMsg(msg);
        r.setData(data);
        return r;
    }
}

Realm类

@Component
public class AccountRealm extends AuthorizingRealm {

    @Autowired
    JwtUtils jwtUtils;

    @Autowired
    UserService userService;

    @Override
    // 判断这个token是否是JwtToken,让realm支持jwt的凭证校验
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    @Override
    // 授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    // 认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        JwtToken jwtToken = (JwtToken) token;// 前面supports方法已经验证过这个token是JwtToken

        String userId = jwtUtils.getClaimByToken((String) jwtToken.getPrincipal()).getSubject();

        User user = userService.getById(Long.valueOf(userId));
        if (user == null) {
            throw new UnknownAccountException("账户不存在");
        }

        if (user.getStatus() == -1) {
            throw new LockedAccountException("账户已被锁定");
        }

        AccountProfile profile = new AccountProfile();// 存储用户信息的载体
        BeanUtil.copyProperties(user, profile);// 将user中的用户信息复制到profile

        return new SimpleAuthenticationInfo(profile, jwtToken.getCredentials(), getName());
    }
}

@Data
// 登录成功之后返回的一个用户信息的载体
public class AccountProfile implements Serializable {

    private Long id;

    private String username;

    private String avatar;

    private String email;

}

ShiroConfig 配置类

如果考虑到我们的项目后面需要做服务集群与负载均衡,我们就需要将Redis顺带配置进来,shiro的缓存和会话信息我们都存储在Redis当中。所以当集群中的服务需要获得缓存和会话信息数据时,就可以从redis中获取。这样就能实现会话共享。

@Configuration
public class ShiroConfig {

    @Autowired
    JwtFilter jwtFilter;

    @Bean
    // shiro整合redis,为了解决shiro的权限数据和会话信息能保存到redis中,实现会话共享
    public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

        // 引入 redisSessionDAO
        sessionManager.setSessionDAO(redisSessionDAO);
        return sessionManager;
    }

    @Bean
    // shiro整合redis,为了解决shiro的权限数据和会话信息能保存到redis中,实现会话共享
    public DefaultWebSecurityManager securityManager(AccountRealm accountRealm,
                                                     SessionManager sessionManager,
                                                     RedisCacheManager redisCacheManager) {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(accountRealm);

        //引入 sessionManager
        securityManager.setSessionManager(sessionManager);

        // 引入 redisCacheManager
        securityManager.setCacheManager(redisCacheManager);
        return securityManager;
    }

    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();

        Map<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/**", "jwt");// 拦截,需要经过jwt过滤器才可以
        chainDefinition.addPathDefinitions(filterMap);
        return chainDefinition;
    }

    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,
                                                         ShiroFilterChainDefinition shiroFilterChainDefinition) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        Map<String, Filter> filters = new HashMap<>();
        filters.put("jwt", jwtFilter);// 注入jwt过滤器
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = shiroFilterChainDefinition.getFilterChainMap();// 获取shiroFilterChainDefinition方法中设置的拦截

        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

}

跨域处理

在前后端分离项目中,因为这时候前端和后端的代码是在不同机器上运行的,两个地址不在一个域名下,这个时候前端脚本在进行ajax访问的时候浏览器就会报跨域相关的错误。跨域请求会被浏览器的同源策略限制,所以我们要在服务器配置跨域处理。

在JwtFilter类中添加

@Override
// 跨域处理
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

    HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
    HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
    httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
    httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
    httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
    // 跨域时会首先发送一个OPTIONS请求,这里我们给OPTIONS请求直接返回正常状态
    if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
        httpServletResponse.setStatus(org.springframework.http.HttpStatus.OK.value());
        return false;
    }

    return super.preHandle(request, response);
}

跨域配置

/**
 * 解决跨域问题
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
                .allowCredentials(true)
                .maxAge(3600)
                .allowedHeaders("*");
    }
}
aoi.tsukasa
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7041
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
SpringBoot+Shiro+Jwt实现登录认证——最干的干货
守夜人爱吃兔子的博客
08-04 1518
1. 概述 1.1 SpringBoot 这个就没什么好说的了,能看到这个教程的,估计都是可以说精通了SpringBoot的使用 1.2 Shiro 一个安全框架,但不只是一个安全框架。它能实现多种多样的功能。并不只是局限在web层。在国内的市场份额占比高于SpringSecurity,是使用最多的安全框架 可以实现用户的认证和授权。比SpringSecurity要简单的多。 1.3 Jwt 我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 5665
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
SpringBoot+JWT+Shiro
jakelihua
08-20 528
本文讲解,如何用SpringBoot整合JWTShiro。对于JWTShiro的讲解看这两篇文章,本文只讲解,最后的结合的代码。
【Java专题_01】springboot+Shiro+Jwt整合方案
weixin_40736233的博客
04-02 1万+
【Java专题_01】springboot+Shiro+Jwt整合方案
Springboot+jwt+shiro实现用户权限控制
m0_67390963的博客
04-25 1577
目录 JWT Shiro 实现过程 1.Springboot环境搭建 2.实现JwtToken、JwtUtil、JwtFilter、这三个类 最近在做前后分离项目,前端验证用到了JWT,后端用的shiro做权限验证,基于springboot实现JWT+Shiro鉴权。 JWT JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。 JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全
springbootshirojwt整合使用
weixin_42404323的博客
06-18 2238
首先shiro做安全框架,将JWT整合shiro的认证和授权中进行使用,最终的目的就是用户在进行登录的时候,验证成功则返回一个token,后面该用户可以通过这个token是访问自己有权限的接口,启动缓存功能,只有第一次认证需要查询DB,后续访问都是访问缓存(分两种,单机版应用使用EhCache,分布式使用redis) 整合思路: 1.构建一个springBoot项目,引入核心依赖并展示核心代码目录 <!--引入ehcache依赖(单机版本缓存用) --> <depen
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot集成ShiroJwt和Redis,使用MyBatisPlus框架实现后台数据库操作。
SpringBoot+Shiro+JWT实现权限管理
热门推荐
qq_42109746的博客
07-24 1万+
1.为什么使用JWT? 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码...
基于SpringBoot实现Shiro整合JWT
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
02-26 2192
在上一篇文章基于SpringBootShiro完成了对shiro整合,这一篇文章我们不妨对项目进行进一步优化,完成基于JWT优化安全校验框架的优化。调用登录接口。若登录通过,即可直接使用当前登录角色的权限调用相关接口。但是这种方式也存在着一定的局限性,由于Shiro认证后会将结果缓存在session会话中,对于分布式结构,session不共享的局限性就暴露出来了。所以为了保证一处认证,处处服务器可用,我们需要整合JWT来完善这个现有的认证逻辑。
SpringBoot+Shiro+JWT
weixin_37375983的博客
11-10 1003
SpringBoot+Shiro+JWT
Shiro系列(一)——Shiro + Springboot + JWT 整合
玖涯博客
02-17 1357
写在前面 本文的出现表示不再进行 Spring Security Oauth 实现的研究了,原因是原开源项目已经被废弃了不再更新了,而且 Oauth 实现的内容有些奇怪,新的项目 spring-authorization-server 目前才发布到 0.1.0,默认只提供了基于内存的实现,个人认为还不是很完善,不适合用到项目中。而且 Spring Security 的 Oauth 流程都实现了,要修改还得从新研究 spring-authorization-server 的实现逻辑,然后进行修改定制,太耗费精
Shiro+Spring Boot+jwt
qq_53946134的博客
08-09 2231
Shiro+SpringBoot+jwt集成小的Dome+源代码,源代码在最后提示:以下是本篇文章正文内容,下面案例可供参考。
springboot+jwt+shiro
Swallow的博客
03-28 665
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 引用至百度百科 最近弄一个新的服务,比较简单,整合了一下安全框架 springboot+jwt+shiro还是比较常见的安全框架整合,简单记录一下这次整合过程 首先,pom.xml 文件添加依赖 <!--整合Shiro安全框架-->
Spring BootSpring Cloud 的区别及选型
最新发布
weixin_47260194的博客
06-14 811
Spring Boot 是一个用于简化 Spring 应用开发的框架。它通过约定优于配置的理念,减少了开发过程中所需的样板代码和配置,使得开发者能够快速上手并创建生产级别的 Spring 应用。Spring Cloud 是一组工具的集合,用于构建分布式系统和微服务架构。它基于 Spring Boot 提供了一系列组件和服务,帮助开发者解决在分布式系统中常见的问题,如配置管理、服务发现、负载均衡、断路器、分布式追踪等。Spring BootSpring Cloud 各有其特点和适用场景。
springboot shiro +jwt
03-28
结合Spring BootShiroJWT可以实现一个安全可靠的Web应用程序。具体步骤如下: 1. 首先,你需要在Spring Boot项目中引入相关依赖,包括Spring BootShiroJWT的依赖。 2. 接下来,你需要配置Shiro的相关组件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值