2022.3.3 SpringBoot+Shiro+Jwt

最新推荐文章于 2024-05-29 11:11:05 发布
最新推荐文章于 2024-05-29 11:11:05 发布
阅读量4.5k 收藏 3
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot java spring 安全架构 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44357065/article/details/123261873
版权

SpringBoot+Shiro+Jwt

流程:
1、用户请求,不携带token,在JwtFilter处做判断,若没有token,则可以访问没有添加@RequiresAuthentication注解的方法,若有token,则如2所示
2、用户请求,携带token,就到JwtFilter中获取jwt,封装成JwtToken对象。然后使用JwtRealm进行认证
3、在JwtRealm中进行认证判断这个token是否有效,有效则可访问url

1、依赖

 <dependency>
   <groupId>org.apache.shiro</groupId> 
   <artifactId>shiro-spring</artifactId> 
   <version>1.4.1</version> 
</dependency> 

<dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.9.1</version>
</dependency>

2、创建JwtUtils

public class JwtUtils {

    private static final String secret="f4e2e52034348f86b67cde581c0f9eb5";
    private static final long expire=604800;
    private static final String header="Authorization";

    /**
     * 生成jwt token
     */
    public String generateToken(long userId) {
        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId+"")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public Claims getClaimByToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            log.debug("validate is token error ", e);
            return null;
        }
    }
    /**
     * token是否过期
     * @return  true:过期
     */
    public boolean isTokenExpired(Date expiration) {
        return expiration.before(new Date());
    }
}

3、JwtFilter

Jwt拦截器,会拦截所有请求,对请求进行过滤,后续会注册到shrio的配置文件中

public class JwtFilter extends AccessControlFilter {

    @Autowired
    JwtUtils jwtUtils;

    /**
     * isAccessAllowed()判断是否携带了有效的JwtToken
     * onAccessDenied()是没有携带JwtToken的时候进行账号密码登录,登录成功允许访问,登录失败拒绝访问
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        /**
         * 1. 返回true,shiro就直接允许访问url
         * 2. 返回false,shiro才会根据onAccessDenied的方法的返回值决定是否允许访问url
         *  这里先让它始终返回false来使用onAccessDenied()方法
         */
        log.warn("isAccessAllowed方法被调用");
        return false;
    }


    /**
     *
     * @param servletRequest
     * @param servletResponse
     * @return返回结果为true表明登录通过
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        /**
         *这个地方和前端约定,要求前端将jwtToken放在请求的Header部分
         *所以以后发起请求的时候就需要在Header中放一个Authorization,值就是对应的Token
         */
        log.warn("onAccessDenied方法被调用");
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        String token = request.getHeader("Authorization");
        if(token==null){//如果token为空的话,返回true,交给控制层@RequiresAuthentication进行判断;也会达到没有权限的作用
            return true;
        }
        JwtToken jwtToken = new JwtToken(token);
        try{
            /**
             * 进行登录处理
             * 委托 realm 进行登录认证
             * 所以这个地方最终还是调用AccountRealm进行的认证
             */
            getSubject(servletRequest,servletResponse).login(jwtToken);
        }catch (Exception e){

//            e.printStackTrace();
//            onLoginFail(servletResponse);
            return false;
        }
        //如果走到这里,那么就返回true,代表登录成功
        return true;
    }

    //登录失败要执行的方法
    private void onLoginFail(ServletResponse response) throws IOException{
        HttpServletResponse httpServletResponse = (HttpServletResponse)response;
        httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        httpServletResponse.getWriter().print("login error");
    }
}

4、创建JwtToken类

JwtToken类要继承AuthenticationToken类

//继承AuthenticationToken  要和AccountRealmh中的doGetAuthenticationInfo的参数类型保持一致
public class JwtToken implements AuthenticationToken {

    private String token;

    public JwtToken(String jwt){
        this.token = jwt;
    }

    @Override//类似用户名
    public Object getPrincipal() {
        return token;
    }

    @Override//类似密码
    public Object getCredentials() {
        return token;
    }
}

5、创建AccountRealm类

用来对用户进行认证和授权

/**
 * //getName():返回一个唯一的Realm名字
 */
@Component
public class AccountRealm extends AuthorizingRealm {

    @Autowired
    JwtUtils jwtUtils;

    @Autowired
    IUserService userService;


    /**
     *  多重写一个support
     *  标识这个Realm是专门用来验证JwtToken
     * 不负责验证其他的token(UsernamePasswordToken)
     *
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String jwt = (String)authenticationToken.getPrincipal();
        String id = jwtUtils.getClaimByToken(jwt).getSubject();//获取jwt中关于用户的id
        User user = userService.getById(Long.valueOf(id));//查询用户
        if(user == null){
            throw new UnknownAccountException("用户不存在");
        }
        if(user.getStatus()==-1){
            throw new LockedAccountException("用户被锁定");
        }

        Claims claims =  jwtUtils.getClaimByToken(jwt);
        if(jwtUtils.isTokenExpired(claims.getExpiration())){
            throw new ExpiredCredentialsException("token过期,请重新登录");
        }
        AccountProfile accountProfile = new AccountProfile();//新建一个用户类,这里包括需要认证的用户信息,当然也可以直接用user
        BeanUtil.copyProperties(user,accountProfile);//将user的属性copy到accountProfile中,其实这里也可以用user
        return new SimpleAuthenticationInfo(accountProfile,jwt,getName());
    }
}

6、ShiroConfig

/**
 * shiro启用注解拦截控制器
 * shiro的三个重要配置
 * 1、Realm
 * 2、DefaultWebSecurityManager
 * 3、ShiroFilterFactoryBean
 */
@Configuration
public class ShiroConfig {

    @Autowired
    JwtFilter jwtFilter;

//    @Bean
//    public SubjectFactory subjectFactory(){
//        return new DefaultSubjectFactory();
//    }

    @Bean//把AccountRealm注入到spring容器中
    public Realm realm(){
        return new AccountRealm();
    }

    @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        //关闭shiroDao功能
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        // 不需要将 ShiroSession 中的东西存到任何地方(包括 Http Session 中)
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        //securityManager.setSubjectFactory(subjectFactory());
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager());
        /**
         *  添加jwt过滤器,并在下面注册
         *  也就是将jwtFilter注册到shiro的Filter中
         *  指定除了login之外的请求都先经过jwtFilter
         */
        HashMap<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt",new JwtFilter());
        shiroFilter.setFilters(filterMap);


        /**
         * 拦截器
         */
        LinkedHashMap<String, String> filtRuleMap = new LinkedHashMap<>();
        filtRuleMap.put("/login","anon");
        filtRuleMap.put("/**","jwt");
        shiroFilter.setFilterChainDefinitionMap(filtRuleMap);
        return shiroFilter;

    }


    /**
     * 下面的的bean是为了解决@RequiresAuthentication注解不生效的配置
     */
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new
                DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean("authorizationAttributeSourceAdvisor")
    public AuthorizationAttributeSourceAdvisor
    authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new
                AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

7、测试类

@RestController
public class AccountController {

    @Autowired
    JwtUtils jwtUtils;

    @Autowired
    IUserService userService;
    @PostMapping("/login")
    public Result login(@RequestBody @Validated LoginDto loginDto, HttpServletResponse response){
        Result result = new Result();
        User user = userService.getOne(new QueryWrapper<User>().eq("username", loginDto.getUsername()));
        if(user==null){
            return Result.fail("用户名不存在");
        }

        if(!user.getPassword().equals(SecureUtil.md5(loginDto.getPassword()))){
            return Result.fail("用户密码错误");
        }

        String token = jwtUtils.generateToken(user.getId());
        response.setHeader("Authorization",token);
        response.setHeader("Access-control-Expost-Headers","Authorization");
        return Result.succ(MapUtil.builder().put("token",token).map());
    }

    @RequiresAuthentication//访问该接口就需要有jwt认证
    @GetMapping("/logout")
    public Result logout(){
        SecurityUtils.getSubject().logout();//退出登录
        return Result.succ(null);
    }
}
最爱琳琳宝贝
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 3.0 (十四): Spring Boot 整合 Shiro安全框架
qq_2118119173的博客
08-15 1234
在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
SpringBoot集成Shiro的步骤
m0_50725078的博客
09-14 502
SpringBoot集成Shiro的步骤
2024年最新Spring Boot 整合 Shiro ,两种方式全总结!,linux知识点总结
2301_79099416的博客
05-09 414
创建一个 Spring Boot 项目,只需要添加 Web 依赖即可:项目创建成功后,加入 Shiro 相关的依赖,完整的 pom.xml 文件中的依赖如下:shiro-web1.4.01.4.0接下来我们来自定义核心组件 Realm:@Override@Overrideif (!throw new UnknownAccountException(“账户不存在!”);在 Realm 中实现简单的认证操作即可,不做授权,授权的具体写法和 SSM 中的 Shiro 一样,不赘述。
springboot3+jdk17+shiro+jwt+redis
最新发布
hahaha的博客
05-29 1636
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
Shiro简单配置Springboot版(3)
qq_39390455的博客
10-22 323
6.整合SpringBoot项目实战 6.0 整合思路 6.1 创建springboot项目 6.2 引入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.3</version> </dependency>
Spring Boot3.0升级,踩坑之旅,附解决方案
m0_57042151的博客
12-07 3223
这个报错主要是Spring Boot3.0已经为所有依赖项从 迁移到 ,导致 包名的修改,Spring团队这样做的原因,主要是避免 的版权问题,解决办法很简单,两步走:1 添加 依赖 修改项目内所有代码的导入依赖 二. 附带的众多依赖包升级,导致的部分代码写法过期报警 2.1 Thymeleaf升级到3.1.0.M2,日志打印的报警 可以看出作者很贴心,日志里已经给出了升级后的写法,修改如下: 2.2 Thymeleaf升级到3.1.0.M2,后端使用 手动渲染网页
简单版 快速掌握实践 SpringBoot继承Shiro框架详解!
SYJ的博客
08-06 6629
ApacheShiro 是一个Java的安全(权限)框架。.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。.Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7078
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户鉴权,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
本项目结合了Apache Shiro、JSON Web Token (JWT)、SpringBoot、MySQL数据库以及Redis缓存技术(通过Jedis客户端)来实现这一机制。下面我们将详细探讨这些组件在实现无状态鉴权中的作用。 **Apache Shiro** Apache...
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6154
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
【Java专题_01】springboot+Shiro+Jwt整合方案
热门推荐
weixin_40736233的博客
04-02 1万+
【Java专题_01】springboot+Shiro+Jwt整合方案
SpringBoot+Shiro+JWT
weixin_37375983的博客
11-10 1005
SpringBoot+Shiro+JWT
SpringBoot+Shiro+Jwt实现登录认证
weixin_44740485的博客
05-08 1838
srpingboot这里就不再进行赘述,相信大家都非常的熟悉了 Shiro 一个安全框架,可以实现用户的认证和授权。比SpringSecurity要简单的多。 Jwt 我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用 Session 来验证的不安全性 什么不适用 Session? 原理是,登录之后客户端和服务端各自保存一个相应的 SessionId,每次客户端发起请求的时候就得携带这个 SessionId 来进行比对 1、Session 在用户请求量大的时候服务器开销太大了 2
springboot+shiro+jwt
staticvoi的博客
12-14 895
JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
springboot shiro +jwt
03-28
3. 然后,你需要编写自定义的Realm类,实现Shiro的认证和授权逻辑。在认证逻辑中,你可以使用JWT进行身份验证;在授权逻辑中,你可以根据用户角色和权限进行授权控制。 4. 在控制器层,你可以使用注解方式进行权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值