PHPER转JAVA记录篇-spring boot+shiro+jwt+redis

最新推荐文章于 2025-08-07 10:43:03 发布
原创 最新推荐文章于 2025-08-07 10:43:03 发布 · 1.7w 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #shiro #jwt #spring

本文记录了一位PHP开发者转向Java,使用Spring Boot、Shiro、JWT和Redis实现权限管理的过程。文中讨论了如何关闭Shiro的session并利用JWT进行身份验证,解决了每次调用登录接口导致的性能问题,以及如何将session存储优化为Redis缓存。此外,还提到了在AOP中处理权限问题的挑战和解决方案。

spring boot + shiro + jwt + redis

一、场景描述

1、前言

基于上一篇spring boot 整合shiro,当时想把shiro引入到我们的spring boot中,引入完了之后,我发现一个问题,那就是shiro是基于session的。那么我是不是可以引入到接口来做呢?比如我们的会员系统,会员分为好几个级别【白银、黄金、铂金、钻石、星耀、王者、荣耀王者】,目前只有王者和荣耀王者才可以打巅峰赛。

2、模拟逻辑(纯属杜撰)

我们先模拟一种场景
角色有:silver、gold、platinum、diamonds、starshine、king、glory
会员有:user1、user2、user3…userX
权限有:common_activity(普通活动)、star_activity(星耀活动)、king_activity(王者活动)、call_up_mode(征召模式)、common_mode(普通竞技模式)…

我们可以说,首先配置角色和权限关系
1、silver、gold、platinum、diamonds、starshine、king、glory 都有 common_activity、common_mode
2、diamonds、starshine、king、glory 都有call_up_mode
2、starshine、king、glory 都有 star_activity
3、king、glory 都有 king_activity

写到这里,大家觉得也没毛病啊,就用shiro做权限管理,没问题的,但是因为我们兼容安卓和IOS,所以是不是涉及到前后端分离呢?这样session无效了,怎么办。

3、JWT如何配合shiro来完成权限

这个相关的文章一大堆:
1、spring-boot-shiro-jwt-redis实现登陆授权功能
2、spring-boot-shiro-jwt-redis

这类文章太多了,我们就不在赘述了,不过这里有一个东西可以注意一下。

 /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-
         * StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

这玩意如果不知道在哪?可以看看上面2篇参考文章。这里是说要把session关闭的一个逻辑,同时备注上也说了,参考:关闭shiro自带的session,详情见文档

二、度娘告诉我们的做法

1、每次都需要登录

我们可以结合他的shiroConfig对于JwtFilter的注入知道,每个请求,都必须先登录,然后在做权限判断。

JwtFilter

/**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
   
   
        try {
   
   
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
   
   
            throw new AuthenticationException("Token失效请重新登录");
        }
    }

    /**
     *
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
   
   
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader(CommonConstant.ACCESS_TOKEN);

        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        getSubject(request, response).login(jwtToken);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

shiroRealm类

/**
     * 功能: 用来进行身份认证,也就是说验证用户输入的账号和密码是否正确,获取身份验证信息,错误抛出异常
     *
     * @param auth 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
   
   
        String token = (String) auth.getCredentials();
        if (token == null) {
   
   
            log.info("————————身份认证失败——————————IP地址:  " + CommonUtils.getIpAddrByRequest(SpringContextUtils.getHttpServletRequest()));
            throw new AuthenticationException("token为空!");
        }
        // 校验token有效性
        SysUser loginUser = this.checkUserTokenIsEffect(token);
        return new SimpleAuthenticationInfo
最低0.47元/天 解锁文章
hyperf使用jwtredis储存驱动实现用户token认证
Enjun97的博客
08-27 2015
第一步:引入jwt-auth组件包 composer require phper666/jwt-auth ps:确保hyperf/cache组件已安装,因为在后面需要用到 第二步:发布配置文件 php bin/hyperf.php jwt:publish --config 执行完毕后,config/autoload文件下会自动生成一个jwt.php的配置文件,这里可以配置关于jwt参数 第三步:编写生成token的业务代码 <?php namespace App\Control..
docker-compose安装PHP7.4(含扩展)+MySQL5.7+Nginx+Redis5.1
weixin_43272072的博客
05-15 6005
Centos7+docker 19.03.8 运行正常,废话不多说。直接上代码,解释看下方。 version: '3' services: nginx: # 容器名称 container_name: "compose-nginx" image: nginx:latest restart: always # 端口映射 ports: - "80:80" - "4
SpringBoot集成ShiroJwtRedis
10-24
SpringBoot集成ShiroJwtRedis,使用MyBatisPlus框架实现后台数据库操作。
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : 疑问查看 项目相关 JavaDoc: : 关联文档: : 教程目录: : 可换数据库形式(MySQL): : 解决无法直接返回401错误: ://note.dolyw.com/shirojwt/ShiroJwt03-401.html 实现Shiro的Cache(Redis)功能: : 项目介绍 RESTful API Maven集成Mybatis Generator(逆向工程) Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码加密(采用AES-128 + Base6
SpringBoot集成Shiro+JWT(Hutool)最详细最完整教程
最新发布
Rysxt_的博客
08-07 1246
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能。​​简单易用​​:相比 Spring Security,Shiro 的 API 更加直观和简单​​功能全面​​:提供认证、授权、会话管理、加密等企业级安全功能​​轻量级​​:不依赖任何容器,可以独立运行​​业界规范​​:被众多企业采用,有丰富的社区支持和文档​​维度​​​​单Token方案​​​​双Token方案​​​​安全性​​单一Token泄露风险高。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳都是跳url页面,而前后端分离后,后端并无权干涉页面跳。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
shiro+springboot+jwt+redis
weixin_43275578的博客
11-10 1146
shiro整合
SpringBoot集成Shiro+Jwt+Redis
weixin_40017062的博客
11-01 1413
SpringBoot集成Shiro+Jwt+Redis实现登录认证、权限控制
php7.2.7-redis-nginx window版套件
07-29
这个套件包是windows X64系统下的php开发套件,包含了PHP7.2.7的TS和NTS版,已及对应版本的redis扩展和curl扩展需要的补丁;其次还有Redis 3.2+Nginx1.14以及2款...windows下开发phper的福利,让你能快速搭建开发环境。
史上最全nopad++前端配置
09-23
《史上最全Notepad++前端配置详解》 在前端开发领域,高效的代码编辑工具是开发者不可或缺的利器。Notepad++作为一款轻量级、开源的文本编辑器,因其强大的功能和可扩展性,深受广大程序员的喜爱。...
springboot3+jdk17+shiro+jwt+redis
hahaha的博客
05-29 3985
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证
05-14
springboot+shiro+redis+jwt 基于Restful接口用户权限认证
SpringBoot+shiro+redis+jwt .zip
01-03
当我们开发需要简单的鉴权功能时,springboot更快捷、简单的集成JWT,使得项目更加简洁(Compact)、自包含(Self-contained)、安全(security);鉴权的流程为下。
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v3.1.2 包含 代码生成器 文档swagger2, 使用jwt采用token有效期内刷新机制更新Token。 项目已实现功能包括: 用户登录 用户管理 角色管理 权限管理 菜单管理
springboot-mybatis-mybatis-plus-mysql-redis-liquibase-shiro-jwt-swagger-:springboot 框架搭建(mybatis+mybatis-plus+mysql+redis+liquibase+shiro+jwt+swagger)
05-14
##项目架构简介: 完全是采用Springboot为基础框架实现的单体工程架构,集成了各种当前主流插件,使得框架更加的健壮和简洁,具体集成的插件如下. ##集成插件:(可以根据需要再添加) (springboot+redis+mybatis+mybatis-plus+lombok+liquibase+shiro+jwt+swagger) 1.mybatis-plus: 几乎实现涵盖了所有的单表操作和分页操作 2.liquibase: 数据库迁移工具:初始化表和初始化数据,修改表字段和修改数据的管理工具 3.shiro+jwt: 权限认证系统:基于方法级别的权限校验,实现token代替session进行鉴权 4.swagger-ui: 实现前后端动态可视化数据交互及接口对接 5.lombok: 简化bean对象的生成 6.逆向工程: 实现表结构到实体,service,mapper,xml等文
springboot整合shiro+jwt+redis详解
zwjzone的博客
05-30 3719
springboot整合shiro+jwt+redis详解
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
ljlj8888的博客
03-12 1万+
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置RedisRedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...
SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (一) 简介与配置
热门推荐
bai_ye_的博客
07-03 1万+
项目Github地址:https://github.com/baiye21/ShiroDemo 一,大体功能 1.登录成功返回access_token 用户通过用户密码进行login,验证成功后生成一个access_token返回给前端,之后的请求都需要将access_token放在Request Header部Authorization字段中,才能正常访问。 2.后续请求需携带access_token 将自定义的JwtFilter拦截器加入到了Shiro的过滤器中,没有在过滤...
PHP Redis扩展90ecd17版本发布-资源分享
Redis是一个开源的内存数据结构存储系统,用作数据库、缓存或消息代理。因此,这个扩展对于PHP开发者来说,是连接和操作Redis服务器的一个重要工具。 2. **适用人群**:“对大多数phper应该很有用处”说明该扩展...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值