SpringBoot + Shiro + JWT 实现认证和授权

最新推荐文章于 2023-10-15 15:48:37 发布
最新推荐文章于 2023-10-15 15:48:37 发布
阅读量1.4k 收藏 21
点赞数 5
分类专栏: Shiro SpringBoot 文章标签: JWT Shiro SpringBoot 认证和授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43517302/article/details/107808971
版权
本文详细介绍了如何使用SpringBoot、Shiro和JWT来实现认证和授权功能。首先解释了JWT的基本原理和组成,然后展示了SpringBoot项目中集成Shiro和JWT的步骤,包括创建JWT工具类、设置Shiro配置、定义过滤器以及控制器层的权限注解。通过实际的代码示例和测试用例,展示了用户如何通过登录获取JWT token,并使用该token进行不同级别的权限访问。
摘要由CSDN通过智能技术生成

1、JWT

JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。

1.JWT的组成

  • JWT token的格式:header.payload.signature
  • header中用于存放签名的生成算法 {"alg": "HS512"}
  • payload中用于存放用户名、token的生成时间和过期时间{"sub":"admin","created":1489079981393,"exp":1489684781}
  • signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败
    //secret为加密算法的密钥 String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

2.JWT实现认证和授权的原理

  • 用户调用登录接口,登录成功后获取到JWT的token;
  • 之后用户每次调用接口都在http的header中添加一个叫Authorization的头,值为JWT的token;
  • 后台程序通过对Authorization头中信息的解码及数字签名校验来获取其中的用户信息,从而实现认证和授权。

2、SpringBoot + Shiro + JWT 实现认证和授权

  1. 项目结构

在这里插入图片描述
2. 开发环境及导入相关maven依赖

  • IDEA:2018.2(lombok插件)
  • SpringBoot:2.3.1.RELEASE
  • Shiro:1.4.1
  • JWT:3.2.0
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.2.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>commons-lang</groupId>
            <artifactId>commons-lang</artifactId>
            <version>2.6</version>
        </dependency>
    </dependencies>
  1. 集成JWT
  • JwtUti
    利用 JWT 的工具类来生成token。这个工具类有生成 token 和 校验 token 以及从token中获取信息
@Slf4j
public class JwtUtil {
   

    private static final Long EXPIRE_TIME = 5 * 60 * 1000L;

    private static final String SECRET = "SHIRO+JWT";

    /**
     * 生成 token 时,指定 token 过期时间 EXPIRE_TIME 和签名密钥 SECRET,
     * 然后将 expireDate 和 username 写入 token 中,并使用带有密钥的 HS256 签名算法进行签名
     * @param username
     * @return
     */
    public static String createToken(String username) {
   
        String token = null;
        try {
   
            // 过期时间
            Date expireDate = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            // 加密算法
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            token = JWT.create()
                    .withClaim("username", username)
                    .withExpiresAt(expireDate)
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
   
            log.error("Failed to create token. {}", e.getMessage());
        }
        return token;
    }

    /**
     * 验证token,如果验证失败,便会抛出异常
     * @param token
     * @param username
     * @return
     */
    public static boolean verify(String token, String username) {
   
        boolean isSuccess = false;
        try {
   
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build
最低0.47元/天 解锁文章
鹿谷門実
关注
专栏目录
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
教你 Shiro + SpringBoot 整合 JWT
weixin_33849215的博客
04-30 1093
本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token) 如果对 shiro 如何整合 springBoot 还不了解的可以先去看我的上一篇文章 《教你 Shiro 整合 SpringBoot,避开各种坑》 附上源码:github.com/HowieYuan/s… JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规...
SpringBoot+Shiro+JWT实现权限管理
热门推荐
qq_42109746的博客
07-24 1万+
1.为什么使用JWT? 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码...
Shiro整合JWTSpringBoot实现认证和权限鉴定
Katharsis_2021的博客
10-15 489
公司新项目需要一个基于SpringBoot的脚手架,需求是整合JWTShiro进行认证和权限鉴定。在搭建的过程中遇到了很多问题,为了不让经验流失在脑海中,就有了这篇文章的诞生。
Shiro + JWT 登录认证授权
m0_67393827的博客
04-07 779
一、解释流程 大体流程: 用户使用username和secret登陆,将sercret通过MD5加密,通过username查询库中是否有该条记录,并比较加密后的密码是否相同,登陆成功后利用JWTutil生成带过期时间的token,以后发送请求时都需要在header中添加Authorization字段附加该token信息; 结合程序实现一个JWTutil,在其中实现利用登陆信息生成token,根据token获取username,token验证等方法; 实现一个JWTFilter继承BasicHtt
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
总的来说,这个系统通过SpringBoot构建基础框架,利用Shiro进行权限控制,结合JWT实现无状态认证,借助Jedis提升性能,运用MybatisPlus简化数据库操作,实现了基于URL的权限管理。这种设计不仅提高了系统的安全性,...
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户鉴权,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
最新发布
02-04
在现代Web应用开发中,安全认证授权是至关重要的部分。...整个方案结合了Spring Boot的便捷性、Shiro的安全性、JWT的灵活性、Redis的高速缓存以及Mybatis的数据库操作,构建了一个完整的认证授权解决方案。
Shiro+JWT实现认证授权
qq_44759750的博客
03-12 910
流程: 1、将token(JWT生成和验证)封装成认证对象(使用ThreadLocal保证线程安全) 2、定义认证授权实现方法(Realm类) 3、拦截HTTP请求,验证Token(Filter) 4、把设置应用到Shiro框架(创建ShiroConfig回传四个对象) 5、 回传token:使用AOP拦截Web对象返回方法,从ThreadLocalToken中获取token写入返回对象,然后返回。 代码实现 JWT加密和验证token /** * JWT对userId进行加密生成token
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 6759
SpringBoot 项目中使用 Shiro 安全框架和 JWT 来进行用户验证与权限控制
Springboot+jwt+shiro实现用户权限控制
m0_67390963的博客
04-25 1634
目录 JWT Shiro 实现过程 1.Springboot环境搭建 2.实现JwtToken、JwtUtil、JwtFilter、这三个类 最近在做前后分离项目,前端验证用到了JWT,后端用的shiro做权限验证,基于springboot实现JWT+Shiro鉴权。 JWT JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。 JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全
SpringBoot整合Shiro验证Jwt
m0_51382710的博客
11-14 355
使用SpringBoot整合Shiro对token进行校验
Springboot+Shiro+Jwt实现简单的权限控制
Java技术攻略的博客
04-24 1620
因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。书写顺序。
Shiro认证操作(Java版)
Radom&7
04-25 151
maven坐标: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-all&lt;/artifactId&gt; &lt;version&gt;1.3.2&lt;/version...
springboot shiro jwt实现认证授权
myli92的博客
03-16 2485
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证授权Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
java常见的几种认证机制
liuerchong的博客
09-15 2825
1. HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 2. OAuth OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用
Java环境下shiro的测试-认证授权
weixin_30326745的博客
01-04 731
Java环境下shiro的测试 1.导入依赖的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </depende...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值