使用Shiro+JWT完成的微信小程序的登录(含讲解)

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量4.3k 收藏 29
点赞数 9
分类专栏: Java从入门到秃头 文章标签: shiro 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44494373/article/details/105420417
版权
本文介绍了一个使用Shiro和JWT实现微信小程序登录的项目,详细讲解了项目的流程、结构及具体实现。首先,你需要了解微信小程序登录流程、Shiro基础知识和JWT原理。项目流程包括获取code,调用login接口,Shiro拦截器验证token,以及登录配置。项目结构包括配置、异常处理、JWT工具类、Shiro配置和登录服务。在Shiro配置中,自定义realm,关闭session,实现JWT工具类和拦截器,完成登录处理。最后,提供了登录配置的实现,包括controller、loginService和SpringHttp工具类RestTemplate的使用。
摘要由CSDN通过智能技术生成

源码地址https://github.com/Jirath-Liu/shiro-jwt-wx

微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

你需要了解的点

微信小程序的登录流程

https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

Shiro的基础知识

https://shiro.apache.org/10-minute-tutorial.html

JWT以及Token

https://jwt.io/introduction/

项目的流程

未命名文件

  1. 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。
  2. 访问login接口,并将code给后台
  3. 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header
  4. 有则自动执行登录操作,核实token的合法性,并刷新token
  5. 没有则被controller拦截进入service中进行登录
  6. 使用code获取用户信息,默认初始化了一些信息(可以修改的)
  7. 生成token(会存至redis)
  8. 返回token

本项目的结构

项目分包:

  1. conf 项目的配置
    • exceptoionconfig 配置了异常的抛出,使用@ControllerAdvice进行拦截统一处理
    • jwt 包含一个jwt工具类,在使用时会与redis连接,存储、验证与生成token
    • shiro 是本项目配置的核心,其中关闭了session管理,使用jwt来完成验证,包含一个自定的应用于shiro的token
    • RestTemplateConfig 使用Spring
  2. enums 包含了需要的枚举类
  3. vo
    • wxapi 包含了一个请求微信后台需要的结果类

不可修改的模块:有JWT与Shiro的类别以及配置模块

具体实现

一、shiro基础配置

1.设置一个自己的realm进行token验证,用户登录会执行你的realm

在DefaultWebSecurityManager 中进行配置

realm是需要自己实现的,先让他在这里报错,当自己的提示也可以

DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager(tokenRealm);
        //设置realm
        defaultWebSecurityManager.setRealm(tokenRealm);

2.我们需要关闭shiro的session功能

在DefaultWebSecurityManager 中进行配置

 DefaultSubjectDAO subjectDAO = (DefaultSubjectDAO) defaultWebSecurityManager.getSubjectDAO();
        DefaultSessionStorageEvaluator evaluator = (DefaultSessionStorageEvaluator) subjectDAO.getSessionStorageEvaluator();
        evaluator.setSessionStorageEnabled(Boolean.FALSE)

3.设置realm

我们需要定制一个realm,并且为了能够被识别,选择继承AuthorizingRealm类

需要我们完成的模块:

  1. realm对请求的识别 我们的方案是验证token是否为我们定制的token
  2. 审核信息 其中有对token的验证,我们做在工具类中
  3. 身份/角色验证
  4. 关闭密码校验加密
@Component
public class TokenRealm extends AuthorizingRealm {
   
    @Autowired
    JwtUtil jwtUtil;

    /**
     * 该方法是为了判断这个主体能否被本Realm处理,判断的方法是查看token是否为同一个类型
     * @param authenticationToken
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken authenticationToken) {
   
        return authenticationToken instanceof JwtShiroToken;
    }


    /**
     * 在需要验证身份进行登录时,会通过这个接口,调用本方法进行审核,将身份信息返回,有误则抛出异常,在外层拦截
     * @param authenticationToken 这里收到的是自定义的token类型,在JwtShiroToken中,自动向上转型。得到的getCredentials为String类型,可以使用toString
     * @return
     * @throws AuthenticationException token异常,可以细化设置
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {
   
        String submittedToken=authenticationToken.getCredentials().toString();
        //解析出信息
        String wxOpenId = jwtUtil.getWxOpenIdByToken(submittedToken);
        String sessionKey = jwtUtil.getSessionKeyByToken(submittedToken);
        String userId=jwtUtil.getUserIdByToken(submittedToken);
        //对信息进行辨别
        if (StringUtils.isEmpty(wxOpenId)) {
   
            throw new TokenException("user account not exits , please check your token");
        }
        if (StringUtils.isEmpty(sessionKey)) {
   
            throw new TokenException("sessionKey is invalid , please check your token");
        }
        if (StringUtils.isEmpty(userId)) {
   
            throw new TokenException("userId is invalid , please check your token");
        }
        if (!jwtUtil.verifyToken(submittedToken)) {
   
            throw new TokenException("token is invalid , please check your token");
        }
        //在这里将principal换为用户的id
        return new SimpleAuthenticationInfo(userId, submittedToken, getName());
    }

    /**
     * 这个方法是用来添加身份信息的,本项目计划为管理员提供网站后台,所以这里不需要身份信息,返回一个简单的即可
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
   
        return null;
    }

    /**
     * 注意坑点 : 密码校验 , 这里因为是JWT形式,就无需密码校验和加密,直接让其返回为true(如果不设置的话,该值默认为false,即始终验证不通过)
     */
    @Override
    public CredentialsMatcher getCredentialsMatcher() {
   
        return (token, info) -> true;
    }
}

4.定制一个token,继承AuthenticationToken

默认的token是包含两个部分的,账号和密码(可以这样理解)

我们将这两个信息都调整为token

/**
 * @author Jirath
 * @date 2020/4/9
 * @description: 一个用于Shiro使用的Authentication,因为使用JWT需要有自己的身份信息,所以使用针对Token定制的信息
 */
@Data
public class JwtShiroToken implements AuthenticationToken {
   
    /**
     * 封装,防止误操作
     */
    private String token;

    /**
     * token作为两者进行提交,使用构造方法进行初始化
     * @param token 用户提交的token
     */
    public JwtShiroToken(String token){
   
        this.token=token;
    }
    /**
     * 在UserNamePasswordToken中,使用的是账号和密码来作为主体和签证,这里我们使用Token登录
     * 两者的get都是获取token
     */
    @Override
    public Object getPrincipal() {
   
        return token;
    }

    @Override
    public Object getCredentials(
最低0.47元/天 解锁文章
可乐可乐可
关注
专栏目录
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2771
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
基于Shiro,JWT实现微信小程序登录完整例子
weixin_30446197的博客
11-28 320
小程序官方流程图如下,官方地址 :https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html: 如果此图理解不清楚的地方,也可参看我的博客 :https://www.cnblogs.com/ealenxie/p/9888064.html 本文是对接微信小程序自定义登录的一个完整...
基于Shiro, JWT实现微信小程序登录完整例子
01-27
微信小程序登录完整实现例子(基于Shiro,JWT) 微信小程序登陆流程图说明 : 上图是小程序登陆的官方流程图说明,官方地址 : 如果有对官方说明不清楚的地方,也可参看我的博客 : 本文博客链接 : 主要实现: 实现了小程序的自定义登陆,将自定义登陆态token返回给小程序作为登陆凭证。用户的信息保存在数据库中,登陆态token缓存在redis中。 首先从我们的小程序端调用wx.login() ,获取临时凭证code : 模拟使用该code,进行小程序的登陆获取自定义登陆态 token,用postman进行测试 : 调用我们需要认证的接口,并携带该token进行鉴权,获取到返回信息 : 使用运行本例的前提注意以下几点 : 本例是一个基于ShiroJWT实现自定义登陆态的完整例子,你需要了解的技术栈 : Shiro,JWT,SpringBoot,JPA,Redis 已有小程序的ap
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1164
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiro-jwt登录认证流程
qq_39159736的博客
05-07 1297
https://www.jianshu.com/p/6abc22ec3cb8 https://blog.csdn.net/mine_song/article/details/61616259 shiro+jwt登录认证和授权认证,不要和我们登录功能搞混。我们的正常登录就是通过LoginControler登录的 而 shiro登录认证是已经登录过后,每次访问资源时我们通过判断token证明该用户携带的token是合法的,授权类似。 很重要的总结。 1. 登录: ...
微信小程序+springboot+shiro实现登录
zhang8907xiaoyue的博客
05-03 4040
一、自定义WxRealm,继承自AuthorizingRealm package com.ruoyi.framework.shiro.realm; import com.ruoyi.customer.domain.CustomerInfo; import com.ruoyi.customer.domain.CustomerLoginLog; import com.ruoyi.customer...
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题
HaHa_Sir的博客
12-09 2702
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题 一、情景描述 在做微信扫码登录时候,流程是,根据获取的 微信unionId,查找到用户,且用户状态为可用时,即可实现登录;由于使用shiro为安全控制中心,查询出来的用户密码为加密的,且不可逆;所以要做一个Shiro免密登录策略。 二、代码实现 1、Shiro 登录流程 Subject su...
shiro-jwt-wx:微信小程序登录使用shiro+JWT(Token)
05-14
使用Shiro+JWT完成微信小程序登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序登录流程 Shiro的基础知识 JWT以及Token 项目...
2024全新Java学习路线图一条龙(视频+课件+源码资料)
码农王也的博客
04-25 1610
互联网浩瀚无际,你能来到这里,是机遇也是缘分,机遇,就像我的标题一样,你找到了一份Java 360度无死角的 Java 学习路线,而缘分让我们相遇,注定给你的学习之路搭上一把手,送你一程。整条线路除了拥有后端整个技术体系外,还涵盖了前端、大数据、云计算、运维等各大领域。在这十八般武艺汇聚全身的同时,这条学习路线也拥有着独有的特色和着重点,比如加入了极为重要且业内稀缺的基本功修炼——六套计算机基础类课程。还有多套Java基础类课程,多维度讲解帮助学习者入门。
微服务[学成在线] day16:基于Spring Security Oauth2开发认证服务
通往体面生活的路上
07-24 538
???? 知识点概览 为了方便后续回顾该项目时能够清晰的知道本章节讲了哪些内容,并且能够从该章节的笔记中得到一些帮助,所以在完成本章节的学习后在此对本章节所涉及到的知识点进行总结概述。 本章节为【学成在线】项目的 day16 的内容 学习 Spring Security + Oauth2 基本概念以及实现过程。 学习 Oauth2 的基本应用场景,这里主要是通过 Oauth2 的密码模式来实战。 初识 JWT 令牌。 本章节的最后通过 Spring Security Oauth2 完成了认证
shiro+微信登录整合
weixin_44823155的博客
07-15 6168
(1)加密工具的抽取 import org.apache.shiro.crypto.hash.SimpleHash; public class MD5Util { //加密方式 public static final String ALGORITHMNAME = "MD5"; //盐值 public static final String SALT ="sourc...
基于JEECG框架的微信登录实现
喜文BLOG
01-20 3786
http://www.xiwenblog.com/archives/1488
JeecBoot微信扫码登录后台系统
m0_55841258的博客
05-12 808
微信扫码登录
使用 Shiro 配合微信小程序或者app登录,做验权
weixin_45390688的博客
09-15 1497
由于本人第一次使用微信小程序配合 Shiro 做验权, 发现小程序不能像普通网页那样做验权, 后台 Shiro 根本识别不到小程序客户端的状态 原因 原来是小程序不自带 cookie 的管理,导致 Shiro 下发的 SessionId, 再小程序下次请求时,不会带上之前的 SessionId 解决方案 自己手动存储 cookie ,并在所有请求中带上 cookie 这是最简单粗暴的方法之一 (当然,也可以去自定义 Shiro 的 Session 管理,等等其他方法) 第一次登录请求时,保存 cookie
Springboot+Shiro+JWT+前后端分离:登录流程源码分析
qq_40144694的博客
02-04 409
本文讲解针对对Shiro有一定了解的同学,如有错误欢迎指正,感谢 @Date: 2021-02-04 Shiro版本(目前最新是1.7.1) <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency>
java springboot微信小程序授权登录
weixin_42413860的博客
04-18 2296
开发前提,注册小程序获取appid和secret 小程序端添加授权按钮 <button class="weui-btn" type="primary" bindtap="showTopTips" open-type="getUserInfo" bindgetuserinfo="bindGetUserInfo">授权登录</button> 绑定授权事件 bindG...
java后端接入微信小程序登录功能
qq_60700961的博客
06-19 3220
Java后端接入微信小程序登录功能,图解+代码
springboot+shiro+jwt获取当前登录用户
09-01
在Spring Boot使用ShiroJWT获取当前登录用户,可以按照以下步骤进行: 1. 配置ShiroJWT:在Spring Boot的配置文件中配置ShiroJWT,包括配置Shiro的Realm、SessionManager和SecurityManager,以及配置JWT的密钥、过期时间等参数。 2. 创建ShiroRealm:继承Shiro的AuthorizingRealm类,重写doGetAuthenticationInfo和doGetAuthorizationInfo方法,用于验证用户身份和获取用户权限信息。 3. 创建JWT工具类:实现生成JWT、解析JWT和验证JWT的方法。 4. 创建登录接口:在登录接口中,验证用户的身份和密码是否正确,并生成JWT返回给客户端。 5. 创建获取当前登录用户接口:在需要获取当前登录用户的接口中,从请求头或请求参数中获取JWT,并解析JWT获取用户信息。 6. 配置Shiro的过滤链:在Spring Boot的配置类中配置Shiro的过滤链,将需要验证用户身份的接口配置为需要登录认证。 7. 编写前端代码:在前端页面中,发送登录请求获取JWT,并在需要获取当前登录用户的地方带上JWT发送请求。 总结:通过配置ShiroJWT,重写ShiroRealm,创建JWT工具类,并在登录和获取用户接口中进行相关操作,可以实现在Spring Boot使用ShiroJWT获取当前登录用户的功能。
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值