分布式鉴权之JWT整合shiro

最新推荐文章于 2023-12-23 19:44:42 发布
最新推荐文章于 2023-12-23 19:44:42 发布
阅读量923 收藏 7
点赞数
文章标签: jwt shiro 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43769053/article/details/107643606
版权

分布式鉴权之JWT整合shiro

关于Jwt

Jwt是什么

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

Jwt结构

Header: 由典型的两部分组成->token类型(JWT)和算法名称(HMAC/SHA256/RSA/等等),一般情况下Header是不变的
Payload: 声明部分一般包含过期时间,用户名密码等等信息具体可以根据Jwt生成Utils类自定义,如下

public String generateJwt(String username, String password){
        if (StringUtils.isBlank(username)||StringUtils.isBlank(password)){
            return null;
        }
        String token=Jwts.builder().setSubject(subject)
                .claim("un",username)
                .claim("pwd",password)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis()+expire))
                .signWith(SignatureAlgorithm.HS256,secret)
                .compact();
        return token;
    }

Signature: 签名部分的生成依赖于前面两部分和秘钥,

Jwt应用

1、分布式场景下的鉴权或者Oauth
2、用作信息交换

Jwt整合Shiro

自定义Token-JwtToken

自定义token实在AuthenticationToken基础上写的一个shiro令牌

public class JwtToken implements AuthenticationToken, Serializable {

    private static final long serialVersionUID = 1L;
    private String token;

    public JwtToken(String token) {
        this.token = token;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }

    @Override
    public String toString() {
        return "JwtToken{" +
                "token='" + token + '\'' +
                '}';
    }

ShiroConfig配置类

最常见不过的配置类,其中自定义了两个filters,在进行Jwt进行过滤的时候
难免会出现路径已经过滤的情况,这时候我这边出现了个问题是只有第一个Filter生效,后面的不起作用,将在文章末为大家提供详细解决方案

 @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager manager/*, RolesFilter rolesFilter*/){
        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
        // 必须设置SecurityManager
        bean.setSecurityManager(manager);
        // 未登录,是否执行是根据subject.login判断的
        bean.setLoginUrl("/api/v1/gate/user/pub/needLogin");
        bean.setSuccessUrl("/");
        // 无权限
        bean.setUnauthorizedUrl("/api/v1/gate/user/pub/notPermit");
        // 设置自定义filter
        Map<String,Filter> filters=new TreeMap<>();
        filters.put("jwt",new JwtFilter());
        filters.put("roles",new RolesFilter());
        bean.setFilters(filters);
        // 路径拦截顺序,一定要使用LinkedHashMap,否则时而拦截,时而不拦截
        Map<String,String> map=new LinkedHashMap<>();

        // 登出
        map.put("/api/v1/gate/user/logout","logout");
        // 游客模式
        map.put("/api/v1/gate/user/pub/**","anon");
        map.put("/a/b","jwt");
        // 登录才可以
        map.put("/api/v1/gate/user/authc/**","authc");
        // 需要admin用户权限才可以访问
        map.put("/api/v1/gate/user/admin/**","roles[root]");
        map.put("/api/v1/gate/user/goods/video/update","perms[video_update]");
        bean.setFilterChainDefinitionMap(map);
        return bean;
    }


    /**
     * 认证管理
     * @return
     */
    @Bean
    public SecurityManager getSecurityManager(){
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(getJwtRealm());
        return manager;
    }


    /**
     * 自定义Realm
     * @return
     */
    @Bean
    public JwtRealm getJwtRealm(){
        JwtRealm jwtRealm=new JwtRealm();
        return jwtRealm;
    }

JwtFilter

自定义的Jwt拦截器,目的在于拦截请求,看请求头中是否包含“token”

  @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (((HttpServletRequest) request).getHeader(DEFAULT_JWT_HEADER) != null) {
            log.info("接口请求头携带token");
            try {
                executeLogin(request, response);
                return true;
            } catch (Exception e) {
                e.printStackTrace();
            }
        }else{
            log.info("接口请求头未携带token");
            sendJsonMessage((HttpServletResponse) response,JsonData.buildError(-1,"未发现token,请登录"));
        }
        return false;
    }


    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response)  {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader(DEFAULT_JWT_HEADER);
        JwtToken jwtToken = new JwtToken(token);
        getSubject(request, response).login(jwtToken);
        return true;
    }

JwtRealm

为登录认证于鉴权提供保证

@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken) {
        log.info("执行认证...");
        // 强转成自定义的JwtToken
        JwtToken jwt=(JwtToken)authToken;
        // 获取token
        String token=(String)jwt.getCredentials();
        // 先检查能否取出用户
        String username=jwtConfig.getUsername(token);
        if(username==null){
            throw new AuthenticationException("token无效");
        }
        // 查找数据库,看是否存有当前用户
        User user=userService.selectUserByUsername(username);
        if(user==null){
            throw new AuthenticationException("用户不存在") ;
        }
        if(!jwtConfig.verify(token,user.getPassword())){
            throw new AuthenticationException("账户密码错误!");
        }
        return new SimpleAuthenticationInfo(jwt,token,getName());
    }


    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("执行授权...");
        JwtToken jwtToken= (JwtToken) principals.getPrimaryPrincipal();
        User user=userService.selectUserByUsername(jwtConfig.getUsername(jwtToken.getToken()));
        // 角色集合
        List<String> strRoleList=new ArrayList<>();
        // 权限集合
        List<String> strPerList=new ArrayList<>();
        // 获取用户的角色集合
        List<Role> roles=user.getRoles();
        // 遍历形成角色权限集合
        for (Role role : roles) {
            strRoleList.add(role.getName());
            for (Permission permission : role.getPermissions()) {
                if (permission!=null){
                    strPerList.add(permission.getName());
                }
            }
        }
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.addRoles(strRoleList);
        info.addStringPermissions(strPerList);
        return info;
    }

问题解决

问题验证

本人猜想是因为路径拦截的问题(前面的拦截器将路径全部拦截了,后面才不生效),但是苦于找不到源码切入点,于是做了一个试验在ShrioConfig中使用JwtFilter对/a/b路径进行拦截
如下图:
在这里插入图片描述
已经拦截成功说明拦截器生效。
因为getSubject(request, response).login(jwtToken);的执行由原来的Controller层迁移到了JwtFilter中所以单独复制了一个生成token的接口目的在于对当前用户执行.login(token)操作,如下图:login2()方法

 /**
     * 登录接口
     * @return JsonData
     */
    @PostMapping("token")
    public JsonData login(@RequestBody UserQuery userQuery) {
        String token= jwtConfig.generateJwt(userQuery.getName(),userQuery.getPwd());
        if(token==null){
            return JsonData.buildError(-1,"用户名或密码不能为空");
        }
        return JsonData.buildSuccess(1, token,"操作成功");
    }

    @PostMapping("token2")
    public JsonData login2(@RequestBody UserQuery userQuery) {
        Subject subject= SecurityUtils.getSubject();
        String token= jwtConfig.generateJwt(userQuery.getName(),userQuery.getPwd());
        if(token==null){
            return JsonData.buildError(-1,"用户名或密码不能为空");
        }
        // 即将进入doGetAuthenticationInfo
        subject.login(new JwtToken(token));
        return JsonData.buildSuccess(1, token,"登录成功");
    }

访问login2对应接口,成功返回token,如下图:
在这里插入图片描述
接着再次访问需要roles[root]角色的接口,如下图:
在这里插入图片描述
从图中可以看出RolesFilter生效

解决方案

在ShiroConfig中手动加入

 @Bean
    public RolesFilter getRolesFilter(){
        return new RolesFilter();
    }

并进行如下更改
在这里插入图片描述
问题解决,,, 哈哈哈,超级开心

另附

解决思路是在偶尔间看到的一篇博文,地址如下

念风_
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授、会话管理、加密等功能。JWT(JSON Web Token)...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合ShiroJWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
shiro限控制(二):分布式架构中shiro的实现
dieweidong5625的博客
02-07 427
前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shiro可不能白费,这里给大家出个简单的教程说明吧。 shiro的基本介绍这里就不再说了,可以自行翻阅博主之前写的shiro教程,这篇文章主要说明分布式架构下shiro的session共享问题...
JwtFilter (过滤器)
10000guo的博客
01-07 3275
JWTFilter&JWT&Filter
springSecurity+jwt实现分布式和认证
qq_37824570的博客
03-09 3434
springSecurity+jwt实现分布式和认证
【Spring Security】分布式的使用
最新发布
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-23 2592
我们都知道是做认证的框架,为了一些不必要的麻烦,登录功能都是他们自己做的,那我们就需要将登录的功能交给管理,但是他们做的东西肯定也是不满足于我们的需求,所以我们要在根据他们提供的代码上自定义,可以将自定义的用户信息获取逻辑集成到中,从而实现基于数据库的用户身份认证。再上一篇中我是通过实现接口并重写方法完成的,但是后面我想了想不应该把代码放在层,所以我们需要创建一个类来继承将自定义用户身份认证的代码写入。/*** @author Java方文山。
springboot+shiro+jwt
zhy的博客
04-03 834
引入build.gradle或pom compile group: 'com.auth0', name: 'java-jwt', version: '3.8.0' compile group: 'org.apache.shiro', name: 'shiro-spring', version: '1.4.0' JwtFilter package com.datbc.fulin....
SpringBoot集成ShiroJwt和Redis
10-24
通过Shiro的RedisSessionDAO,我们可以将用户的Session数据存储到Redis中,实现分布式会话管理。 **MyBatisPlus** 是MyBatis的增强工具,简化了常见的CRUD操作。在本项目中,它作为数据访问层,负责与数据库交互,...
spring boot 整合JWT+shiro
10-09
`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,提供了丰富的限控制功能。这个简单的整合Demo对于初学者理解这些技术的结合非常有帮助。 首先,我们需要了解`Spring Boot`的...
springboot集成jwtshiro实现前后端分离限demo2
04-10
JWT(JSON Web Token)和Shiro是两个常用于限管理的工具,它们能够帮助我们构建安全的、基于令牌的身份验证系统。本文将详细介绍如何在Spring Boot项目中集成JWTShiro,以及如何处理Realm中的异常。 首先,...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授方式,shiro框架,配置Jedis,以redis作缓存
SpringCloud+Minio+Nginx实现分布式文件管理
qq_847601290的博客
10-17 2519
简单记录下springcloud+minio+nginx实现分布式文件管理
整合Shiro+Jwt
qq_57747969的博客
09-19 477
整合Shiro+Jwt大致思路
SpringBoot+Shiro+JWT实现授
帅帅气气的黑猫警长
09-03 1284
SpringBoot+JWT+Shiro实现前后端分离的授
手把手教你Shiro整合JWT实现登录认证
daishu21的博客
06-26 109
手把手教你Shiro整合JWT实现登录认证_shiro jwt_小二上酒8的博客-CSDN博客
Spring Security(四)基于redis的分布式认证解决方案
douya2016的博客
08-25 2001
项目介绍 方案介绍 ​ 基于数据库的认证方式,登录之后会产生一个session存储在内存之中,然后将sessionId返回给客户端,后续客户端请求资源时,会将sessionId携带上,服务端根据sessionId判断用户的登录状态,如果用户登录过,则放行,如果没有登录,则会被拦截,跳转到登录页面重新登录,但这种将登录状态以及信息放在内存中的方式会带来两个问题: 由于session产生后放在服务器的内存之中,服务器因为某种原因(宕机或者更新)重启之后,则所有的session都会丢失,那么登录过的所有用户
shiro的ajax请求,AJAX和shiro的请求问题
weixin_28934081的博客
08-06 405
原因:当我们使用Shiro发送AJAX请求的时候,会自动跳转页面(而AJAX不能@R_532_404@面,添砖会出很多错误)因为是shiro自己的原因,所以我们需要使用我们自己定义的在shiro中使用这个类PermissionsAuthorizationFilter来过滤请求所以覆写AJAX特点普通请求 AJAX 所以我们可以通过七种不同来判断是否为AJAX请求写一个类继承Permission...
微服务架构下的安全认证与
EAWorld
06-19 2980
转载本文需注明出处:微信公众号EAWorld,违者必究。本文目录:一、单体应用 VS 微服务二、微服务常见安全认证方案三、JWT介绍四、OAuth 2.0 介绍五、思考总...
基于分布式单点登录的JWT的token身份认证方案
weixin_46879188的博客
05-18 1832
认识JWT JWT是 JSON Web Token 的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT工作流程 这里我们通过一张图了解它的工作流程。 从上图中我们可以看出它是基于Token的身份认证,具体流程:客户端携带用户名和密码请求访问 - 服务器校验用户凭据 - 应用提供一个token给客户端 - 客户端存储token,并且在随后的每一次请求中都带着它 -服务器校验token
shiro分布式
08-11
Shiro分布式是指在分布式系统中使用Shiro进行身份验证和授的过程。对于这个问题,可以参考引用和引用中提供的相关文档和示例代码来实现Shiro分布式的功能。首先,可以查看jsets-shiro-spring-boot-starter项目详情以了解如何在Spring Boot项目中集成Shiro。并且可以参考jsets-shiro-demo示例源码来了解如何在具体项目中应用Shiro进行。另外,可以查看使用说明来了解jsets-shiro-spring-boot-starter的具体使用方法。引用中提到了一种防止重放攻击的方法,通过将token的ID放入缓存(如redis、memcached)进行阅后即焚或销毁缓存来确保token只能使用一次。这是一种常见的防止重放攻击的解决方案。通过这些参考资料,你可以更好地理解和实践Shiro分布式的方案。123 #### 引用[.reference_title] - *1* *2* [shiro jwt 构建无状态分布式体系](https://blog.csdn.net/wj596/article/details/84914572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [分布式JWT整合shiro](https://blog.csdn.net/weixin_43769053/article/details/107643606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值