PHPER转JAVA记录篇-spring boot+shiro+jwt+redis

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量7.2k 收藏
点赞数
分类专栏: JAVA 文章标签: java shiro jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43938908/article/details/106854876
版权
本文记录了一位PHP开发者转向Java,使用Spring Boot、Shiro、JWT和Redis实现权限管理的过程。文中讨论了如何关闭Shiro的session并利用JWT进行身份验证,解决了每次调用登录接口导致的性能问题,以及如何将session存储优化为Redis缓存。此外,还提到了在AOP中处理权限问题的挑战和解决方案。
摘要由CSDN通过智能技术生成

spring boot + shiro + jwt + redis

一、场景描述

1、前言

基于上一篇spring boot 整合shiro,当时想把shiro引入到我们的spring boot中,引入完了之后,我发现一个问题,那就是shiro是基于session的。那么我是不是可以引入到接口来做呢?比如我们的会员系统,会员分为好几个级别【白银、黄金、铂金、钻石、星耀、王者、荣耀王者】,目前只有王者和荣耀王者才可以打巅峰赛。

2、模拟逻辑(纯属杜撰)

我们先模拟一种场景
角色有:silver、gold、platinum、diamonds、starshine、king、glory
会员有:user1、user2、user3…userX
权限有:common_activity(普通活动)、star_activity(星耀活动)、king_activity(王者活动)、call_up_mode(征召模式)、common_mode(普通竞技模式)…

我们可以说,首先配置角色和权限关系
1、silver、gold、platinum、diamonds、starshine、king、glory 都有 common_activity、common_mode
2、diamonds、starshine、king、glory 都有call_up_mode
2、starshine、king、glory 都有 star_activity
3、king、glory 都有 king_activity

写到这里,大家觉得也没毛病啊,就用shiro做权限管理,没问题的,但是因为我们兼容安卓和IOS,所以是不是涉及到前后端分离呢?这样session无效了,怎么办。

3、JWT如何配合shiro来完成权限

这个相关的文章一大堆:
1、spring-boot-shiro-jwt-redis实现登陆授权功能
2、spring-boot-shiro-jwt-redis

这类文章太多了,我们就不在赘述了,不过这里有一个东西可以注意一下。

 /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-
         * StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

这玩意如果不知道在哪?可以看看上面2篇参考文章。这里是说要把session关闭的一个逻辑,同时备注上也说了,参考:关闭shiro自带的session,详情见文档

二、度娘告诉我们的做法

1、每次都需要登录

我们可以结合他的shiroConfig对于JwtFilter的注入知道,每个请求,都必须先登录,然后在做权限判断。

JwtFilter

/**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
   
        try {
   
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
   
            throw new AuthenticationException("Token失效请重新登录");
        }
    }

    /**
     *
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
   
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader(CommonConstant.ACCESS_TOKEN);

        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        getSubject(request, response).login(jwtToken);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

shiroRealm类

/**
     * 功能: 用来进行身份认证,也就是说验证用户输入的账号和密码是否正确,获取身份验证信息,错误抛出异常
     *
     * @param auth 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
   
        String token = (String) auth.getCredentials();
        if (token == null) {
   
            log.info("————————身份认证失败——————————IP地址:  " + CommonUtils.getIpAddrByRequest(SpringContextUtils.getHttpServletRequest()));
            throw new AuthenticationException("token为空!");
        }
        // 校验token有效性
        SysUser loginUser = this.checkUserTokenIsEffect(token);
        return new <
最低0.47元/天 解锁文章
Leo.xie
关注
专栏目录
使用redis-dump与redis-load方式迁移redis数据库
weixin_43814458的博客
04-23 300
实际生产场景中,有可能会因为迁移机房或者更换物理机等原因需要在生产环境迁移redis数据。本文就来为大家介绍一下迁移redis数据的方法。 官方群点击此处。 迁移redis数据一般有如下3种方式: 1、第三方工具redis-dump,redis-load 2、aof机制,需要开启aof功能 3、rdb存储机制 这里介绍第一种方式,通过redis-dump导出数据,再通过redis-lo...
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot集成ShiroJwtRedis,使用MyBatisPlus框架实现后台数据库操作。
shiro+springboot+jwt+redis
weixin_43275578的博客
11-10 984
shiro整合
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1194
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
springboot3+jdk17+shiro+jwt+redis
hahaha的博客
05-29 2282
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : 疑问查看 项目相关 JavaDoc: : 关联文档: : 教程目录: : 可换数据库形式(MySQL): : 解决无法直接返回401错误: ://note.dolyw.com/shirojwt/ShiroJwt03-401.html 实现Shiro的Cache(Redis)功能: : 项目介绍 RESTful API Maven集成Mybatis Generator(逆向工程) Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码加密(采用AES-128 + Base6
Springboot+shiro+jwt+redis+swagger前后端分离实战脚手架搭建-日志配置
u012197505的博客
04-23 465
4 实战脚手架搭建-日志配置 spring boot默认使用logback作为日志系统,可以结合slf4j日志框架使用,springboot已经为当前使用的日志框架的控制台输出和文件输出做好了配置, 我们只需要在配置文件里加入以下配置即可。 4.1修改 application.properties #logging配置 logging.file=${logging.path}/${spring.a...
php7.2.7-redis-nginx window版套件
07-29
这个套件包是windows X64系统下的php开发套件,包含了PHP7.2.7的TS和NTS版,已及对应版本的redis扩展和curl扩展需要的补丁;其次还有Redis 3.2+Nginx1.14以及2款...windows下开发phper的福利,让你能快速搭建开发环境。
史上最全nopad++前端配置
09-23
《史上最全Notepad++前端配置详解》 在前端开发领域,高效的代码编辑工具是开发者不可或缺的利器。Notepad++作为一款轻量级、开源的文本编辑器,因其强大的功能和可扩展性,深受广大程序员的喜爱。...
PHP+Redis实现延迟任务 实现自动取消订单(详细教程)
weixin_43814458的博客
04-09 847
简单定时任务解决方案:使用redis的keyspace notifications(键失效后通知事件) 需要注意此功能是在redis 2.8版本以后推出的,因此你服务器上的reids最少要是2.8版本以上; 我的官方群点击此处。 (A)业务场景: 1、当一个业务触发以后需要启动一个定时任务,在指定时间内再去执行一个任务(如自动取消订单,自动完成订单等功能) 2、redis的keyspace...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳都是跳url页面,而前后端分离后,后端并无权干涉页面跳。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证
05-14
springboot+shiro+redis+jwt 基于Restful接口用户权限认证
SpringBoot+shiro+redis+jwt .zip
01-03
当我们开发需要简单的鉴权功能时,springboot更快捷、简单的集成JWT,使得项目更加简洁(Compact)、自包含(Self-contained)、安全(security);鉴权的流程为下。
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v3.1.2 包含 代码生成器 文档swagger2, 使用jwt采用token有效期内刷新机制更新Token。 项目已实现功能包括: 用户登录 用户管理 角色管理 权限管理 菜单管理
springboot整合shiro+jwt+redis详解
zwjzone的博客
05-30 3553
springboot整合shiro+jwt+redis详解
springboot接收json参数_Springboot + Vue + shiro 实现前后端分离、权限控制
weixin_39612023的博客
11-25 207
小Hub领读:嘿嘿,之前我也发了一类似的项目,SpringBoot+Vue的项目,还有视频讲解,如果这文章看完不懂,不妨去看看我的视频讲解哈,超级详细!太赞了,SpringBoot+Vue前后端分离完整入门教程!​mp.weixin.qq.com作者:_Yufanhttp://cnblogs.com/yfzhou/p/9813177.html本文总结自实习中对项目的重构。原先项目采用 Spri...
spring boot集成shiro+redis+jwt
qq_41015193的博客
03-22 1408
spring boot集成shiro+redis+jwt 集成shiro作为权限校验框架 jwt生成token redis缓冲token和用户相关得一些数据 Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。 添加依赖(数据库和持久层框架根据实际情况添加) <!--redis--> <dependency&g
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值