使用Shiro+JWT完成的微信小程序的登录(含讲解)

最新推荐文章于 2024-09-04 23:22:25 发布
最新推荐文章于 2024-09-04 23:22:25 发布
阅读量4.3k 收藏 29
点赞数 9
分类专栏: Java从入门到秃头 文章标签: shiro 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44494373/article/details/105420417
版权
本文介绍了一个使用Shiro和JWT实现微信小程序登录的项目,详细讲解了项目的流程、结构及具体实现。首先,你需要了解微信小程序登录流程、Shiro基础知识和JWT原理。项目流程包括获取code,调用login接口,Shiro拦截器验证token,以及登录配置。项目结构包括配置、异常处理、JWT工具类、Shiro配置和登录服务。在Shiro配置中,自定义realm,关闭session,实现JWT工具类和拦截器,完成登录处理。最后,提供了登录配置的实现,包括controller、loginService和SpringHttp工具类RestTemplate的使用。
摘要由CSDN通过智能技术生成

源码地址https://github.com/Jirath-Liu/shiro-jwt-wx

微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

你需要了解的点

微信小程序的登录流程

https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

Shiro的基础知识

https://shiro.apache.org/10-minute-tutorial.html

JWT以及Token

https://jwt.io/introduction/

项目的流程

未命名文件

  1. 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。
  2. 访问login接口,并将code给后台
  3. 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header
  4. 有则自动执行登录操作,核实token的合法性,并刷新token
  5. 没有则被controller拦截进入service中进行登录
  6. 使用code获取用户信息,默认初始化了一些信息(可以修改的)
  7. 生成token(会存至redis)
  8. 返回token

本项目的结构

项目分包:

  1. conf 项目的配置
    • exceptoionconfig 配置了异常的抛出,使用@ControllerAdvice进行拦截统一处理
    • jwt 包含一个jwt工具类,在使用时会与redis连接,存储、验证与生成token
    • shiro 是本项目配置的核心,其中关闭了session管理,使用jwt来完成验证,包含一个自定的应用于shiro的token
    • RestTemplateConfig 使用Spring
  2. enums 包含了需要的枚举类
  3. vo
    • wxapi 包含了一个请求微信后台需要的结果类

不可修改的模块:有JWT与Shiro的类别以及配置模块

具体实现

一、shiro基础配置

1.设置一个自己的realm进行token验证,用户登录会执行你的realm

在DefaultWebSecurityManager 中进行配置

realm是需要自己实现的,先让他在这里报错,当自己的提示也可以

DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager(tokenRealm);
        //设置realm
        defaultWebSecurityManager.setRealm(tokenRealm);

2.我们需要关闭shiro的session功能

在DefaultWebSecurityManager 中进行配置

 DefaultSubjectDAO subjectDAO = (DefaultSubjectDAO) defaultWebSecurityManager.getSubjectDAO();
        DefaultSessionStorageEvaluator evaluator = (DefaultSessionStorageEvaluator) subjectDAO.getSessionStorageEvaluator();
        evaluator.setSessionStorageEnabled(Boolean.FALSE)

3.设置realm

我们需要定制一个realm,并且为了能够被识别,选择继承AuthorizingRealm类

需要我们完成的模块:

  1. realm对请求的识别 我们的方案是验证token是否为我们定制的token
  2. 审核信息 其中有对token的验证,我们做在工具类中
  3. 身份/角色验证
  4. 关闭密码校验加密
@Component
public class TokenRealm extends AuthorizingRealm {
   
    @Autowired
    JwtUtil jwtUtil;

    /**
     * 该方法是为了判断这个主体能否被本Realm处理,判断的方法是查看token是否为同一个类型
     * @param authenticationToken
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken authenticationToken) {
   
        return authenticationToken instanceof JwtShiroToken;
    }


    /**
     * 在需要验证身份进行登录时,会通过这个接口,调用本方法进行审核,将身份信息返回,有误则抛出异常,在外层拦截
     * @param authenticationToken 这里收到的是自定义的token类型,在JwtShiroToken中,自动向上转型。得到的getCredentials为String类型,可以使用toString
     * @return
     * @throws AuthenticationException token异常,可以细化设置
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {
   
        String submittedToken=authenticationToken.getCredentials().toString();
        //解析出信息
        String wxOpenId = jwtUtil.getWxOpenIdByToken(submittedToken);
        String sessionKey = jwtUtil.getSessionKeyByToken(submittedToken);
        String userId=jwtUtil.getUserIdByToken(submittedToken);
        //对信息进行辨别
        if (StringUtils.isEmpty(wxOpenId)) {
   
            throw new TokenException("user account not exits , please check your token");
        }
        if (StringUtils.isEmpty(sessionKey)) {
   
            throw new TokenException("sessionKey is invalid , please check your token");
        }
        if (StringUtils.isEmpty(userId)) {
   
            throw new TokenException("userId is invalid , please check your token");
        }
        if (!jwtUtil.verifyToken(submittedToken)) {
   
            throw new TokenException("token is invalid , please check your token");
        }
        //在这里将principal换为用户的id
        return new SimpleAuthenticationInfo(userId, submittedToken, getName());
    }

    /**
     * 这个方法是用来添加身份信息的,本项目计划为管理员提供网站后台,所以这里不需要身份信息,返回一个简单的即可
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
   
        return null;
    }

    /**
     * 注意坑点 : 密码校验 , 这里因为是JWT形式,就无需密码校验和加密,直接让其返回为true(如果不设置的话,该值默认为false,即始终验证不通过)
     */
    @Override
    public CredentialsMatcher getCredentialsMatcher() {
   
        return (token, info) -> true;
    }
}

4.定制一个token,继承AuthenticationToken

默认的token是包含两个部分的,账号和密码(可以这样理解)

我们将这两个信息都调整为token

/**
 * @author Jirath
 * @date 2020/4/9
 * @description: 一个用于Shiro使用的Authentication,因为使用JWT需要有自己的身份信息,所以使用针对Token定制的信息
 */
@Data
public class JwtShiroToken implements AuthenticationToken {
   
    /**
     * 封装,防止误操作
     */
    private String token;

    /**
     * token作为两者进行提交,使用构造方法进行初始化
     * @param token 用户提交的token
     */
    public JwtShiroToken(String token){
   
        this.token=token;
    }
    /**
     * 在UserNamePasswordToken中,使用的是账号和密码来作为主体和签证,这里我们使用Token登录
     * 两者的get都是获取token
     */
    @Override
    public Object getPrincipal() {
   
        return token;
    }

    @Override
    public Object getCredentials(
最低0.47元/天 解锁文章
可乐可乐可
关注
专栏目录
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2980
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
2024全新Java学习路线图一条龙(视频+课件+源码资料)
码农王也的博客
04-25 1676
互联网浩瀚无际,你能来到这里,是机遇也是缘分,机遇,就像我的标题一样,你找到了一份Java 360度无死角的 Java 学习路线,而缘分让我们相遇,注定给你的学习之路搭上一把手,送你一程。整条线路除了拥有后端整个技术体系外,还涵盖了前端、大数据、云计算、运维等各大领域。在这十八般武艺汇聚全身的同时,这条学习路线也拥有着独有的特色和着重点,比如加入了极为重要且业内稀缺的基本功修炼——六套计算机基础类课程。还有多套Java基础类课程,多维度讲解帮助学习者入门。
基于Shiro, JWT实现微信小程序登录完整例子
01-27
微信小程序登录完整实现例子(基于Shiro,JWT) 微信小程序登陆流程图说明 : 上图是小程序登陆的官方流程图说明,官方地址 : 如果有对官方说明不清楚的地方,也可参看我的博客 : 本文博客链接 : 主要实现: 实现了小程序的自定义登陆,将自定义登陆态token返回给小程序作为登陆凭证。用户的信息保存在数据库中,登陆态token缓存在redis中。 首先从我们的小程序端调用wx.login() ,获取临时凭证code : 模拟使用该code,进行小程序的登陆获取自定义登陆态 token,用postman进行测试 : 调用我们需要认证的接口,并携带该token进行鉴权,获取到返回信息 : 使用运行本例的前提注意以下几点 : 本例是一个基于ShiroJWT实现自定义登陆态的完整例子,你需要了解的技术栈 : Shiro,JWT,SpringBoot,JPA,Redis 已有小程序的ap
基于Shiro,JWT实现微信小程序登录完整例子
weixin_34233618的博客
11-30 700
小程序官方流程图如下,官方地址 : https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html : 如果此图理解不清楚的地方,也可参看我的博客 : https://www.cnblogs.com/ealenxie/p/9888064....
JWTshiro结合实现认证
最新发布
weixin_42564451的博客
09-04 675
JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT的最大特点是它是自包的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能。
shiro-jwt登录认证流程
qq_39159736的博客
05-07 1320
https://www.jianshu.com/p/6abc22ec3cb8 https://blog.csdn.net/mine_song/article/details/61616259 shiro+jwt登录认证和授权认证,不要和我们登录功能搞混。我们的正常登录就是通过LoginControler登录的 而 shiro登录认证是已经登录过后,每次访问资源时我们通过判断token证明该用户携带的token是合法的,授权类似。 很重要的总结。 1. 登录: ...
微信小程序登陆 + 基于JWT的Token 验证 + 内部用户登陆系统
小天哥12的博客
04-07 1万+
微信小程序登陆 + 基于JWT的Token 验证 + 内部用户登陆系统 公司需要做一个用于内部员工的培训系统的小程序,之前只是了解过,但是并没有自己动手做过小程序,以下是记录自己这次的开发过程。 文档层解析 微信官方登陆文档 https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html 1、微信小程序端调用wx.login 获取一个code(这个code是变化的,即每次调用都会不同,导致session_
微信小程序+springboot+shiro实现登录
zhang8907xiaoyue的博客
05-03 4059
一、自定义WxRealm,继承自AuthorizingRealm package com.ruoyi.framework.shiro.realm; import com.ruoyi.customer.domain.CustomerInfo; import com.ruoyi.customer.domain.CustomerLoginLog; import com.ruoyi.customer...
shiro-jwt-wx:微信小程序登录使用shiro+JWT(Token)
05-14
使用Shiro+JWT完成微信小程序登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序登录流程 Shiro的基础知识 JWT以及Token 项目...
微服务[学成在线] day16:基于Spring Security Oauth2开发认证服务
通往体面生活的路上
07-24 585
???? 知识点概览 为了方便后续回顾该项目时能够清晰的知道本章节讲了哪些内容,并且能够从该章节的笔记中得到一些帮助,所以在完成本章节的学习后在此对本章节所涉及到的知识点进行总结概述。 本章节为【学成在线】项目的 day16 的内容 学习 Spring Security + Oauth2 基本概念以及实现过程。 学习 Oauth2 的基本应用场景,这里主要是通过 Oauth2 的密码模式来实战。 初识 JWT 令牌。 本章节的最后通过 Spring Security Oauth2 完成了认证
基于JWT的用户登录认证的原理与实现
JieZai958921541的博客
11-12 3365
JWT认证原理 JWT简介: JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包的方式,用于JSON对象在各方之间安全的传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT的结构: JWT由三个部分组成,各部分之间用小数点连接。这三部分分别是Header(请求头)、Payload(有效载荷)、Signature(签名),一个典型的JWT看起来是这个样子的:xxx.yyy.zzz 1. header请求头: 由Token的类型和算法名称组成,如下所示
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题
HaHa_Sir的博客
12-09 2729
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题 一、情景描述 在做微信扫码登录时候,流程是,根据获取的 微信unionId,查找到用户,且用户状态为可用时,即可实现登录;由于使用shiro为安全控制中心,查询出来的用户密码为加密的,且不可逆;所以要做一个Shiro免密登录策略。 二、代码实现 1、Shiro 登录流程 Subject su...
shiro+微信登录整合
weixin_44823155的博客
07-15 6205
(1)加密工具的抽取 import org.apache.shiro.crypto.hash.SimpleHash; public class MD5Util { //加密方式 public static final String ALGORITHMNAME = "MD5"; //盐值 public static final String SALT ="sourc...
基于JEECG框架的微信登录实现
喜文BLOG
01-20 3850
http://www.xiwenblog.com/archives/1488
微信小程序 JWT登录颁发token
zb0109的博客
02-14 832
1.引入扩展包 composer require firebase/php-jwt <?php namespace app\business; use Firebase\JWT\Key; use think\Exception; class Jwt { public static function createJwt($userId = 'zq') { $key = md5('zq8876!@!'); //jwt的签发密钥,验证token的时候需要用到
JeecBoot微信扫码登录后台系统
m0_55841258的博客
05-12 863
微信扫码登录
微信小程序登录(java springboot)
热门推荐
Smileyan's blog
02-27 1万+
1. 编写目的 简单介绍微信小程序登录的实现。 2. 重要说明 由于之前做微信网页授权登录,容易被之前的思路误导。 微信小程序登录流程如官网图片: 需要说明的就是,获得用户信息并不是后端再次提交数据给微信端,获得用户信息,而是登录后在小程序内授权获得用户信息。 3. 具体代码 首先需要添加maven依赖包 httpclient 与 fastjson &lt;!-- https://mvnrepo...
微服务统一登录认证怎么做?JWT
Java知音
02-06 1682
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:hongxinerkecnblogs.com/zhenghongxin/p/10006697.html无状态登录...
使用 Shiro 配合微信小程序或者app登录,做验权
weixin_45390688的博客
09-15 1538
由于本人第一次使用微信小程序配合 Shiro 做验权, 发现小程序不能像普通网页那样做验权, 后台 Shiro 根本识别不到小程序客户端的状态 原因 原来是小程序不自带 cookie 的管理,导致 Shiro 下发的 SessionId, 再小程序下次请求时,不会带上之前的 SessionId 解决方案 自己手动存储 cookie ,并在所有请求中带上 cookie 这是最简单粗暴的方法之一 (当然,也可以去自定义 Shiro 的 Session 管理,等等其他方法) 第一次登录请求时,保存 cookie
springboot+shiro+jwt获取当前登录用户
09-01
在Spring Boot使用ShiroJWT获取当前登录用户,可以按照以下步骤进行: 1. 配置ShiroJWT:在Spring Boot的配置文件中配置ShiroJWT,包括配置Shiro的Realm、SessionManager和SecurityManager,以及配置JWT的...
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值