shiro之前后端分离(基于jwt的token安全认证)

最新推荐文章于 2024-08-05 19:09:24 发布
最新推荐文章于 2024-08-05 19:09:24 发布
阅读量6k 收藏 66
点赞数 13
分类专栏: 笔记 文章标签: 后端 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45390688/article/details/122148329
版权

前后端分离项目与传统的一体式项目有所不同,用户安全认证的方式不太一样,前后端分离项目不能像一体式项目那样使用session认证,所以一般使用token认证,具体原理很简单,客户端每次请求服务器的时候都会带上token密钥,服务器识别认证token后,即可识别身份并响应数据。废话不多说,直接上代码。
主要代码:
一、JwtUtil
Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。

@Component
public class JwtUtil {



    /**
     * JWT认证过期时间 EXPIRE_TIME 分钟
     */
    private static final long EXPIRE_TIME = 30*1000;

    /**
     * 校验token是否正确
     *
     * @param token  密钥
     * @param secret 用户的密码
     * @return 是否正确
     */
    public static boolean verify(String token, String username, String secret) {
        try {
            //根据密码生成JWT效验器
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            //效验TOKEN
            DecodedJWT jwt = verifier.verify(token);
            System.out.println("登录认证成功!");
            return true;
        } catch (Exception exception) {
            System.out.println("JwtUtil登录认证失败!");
            return false;
        }
    }

    /**
     * 获得token中的信息无需secret解密也能获得
     *
     * @return token中包含的用户名
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 生成token签名EXPIRE_TIME 分钟后过期
     *
     * @param username 用户名(电话号码)
     * @param secret   用户的密码
     * @return 加密的token
     */
    public static String sign(String username, String secret) {
        long nowTime = System.currentTimeMillis();
        Date date = new Date(nowTime + EXPIRE_TIME);


        Algorithm algorithm = Algorithm.HMAC256(secret);
        // 附带username信息
        return JWT.create()
                .withClaim("username", username)
                .withClaim("currentTimeMillis", String.valueOf(nowTime))
                .withExpiresAt(date)
                .sign(algorithm);
    }

    public static String getClaim(String token, String claim) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(claim).asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}

二、shiroConfig
shiroConfig基本变动不大,需要注意以下几点:1.需要设置关闭shiro自带的session;2.需要设置我们自己的身份认证过滤器MyFilter类(后面会介绍),关于MyFilter类也是前后端分离使用token认证的核心,不在使用shiro自带的authc过滤器(传统项目session校验使用的就是authc过滤器)了;3.realm不要设置缓存,传统一体式项目我们使用的用户名和密码校验,因为一个用户的用户名和密码不会经常改变,所以我们可以设置缓存,改变密码后需要更新缓存,而前后端分离项目使用的是经常改变的token,所以认证不能设置缓存,而权限可以单独设置@cache缓存,在后面代码UserServiceImpl中有所体现。

@Configuration
public class shiroConfig {
    //创建shirofilter,负责拦截所有请求
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        Map<String, Filter> filters = new HashMap<>();
        filters.put("auth", new MyFilter());
        shiroFilterFactoryBean.setFilters(filters);
        //配置系统受限资源
        //配置系统公共资源
        Map<String,String> map  = new HashMap<>();
        //顺序无关
        map.put("/user/login","anon");
        map.put("/**","auth");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        return shiroFilterFactoryBean;
    }

    //创建shiro安全管理器
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(Realm realm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

        //关闭shiro自带的session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        defaultWebSecurityManager.setSubjectDAO(subjectDAO);
        //配置realm
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }

    //创建自定义realm
    @Bean
    public Realm getRealm(){
        CustomerRealm customerRealm = new CustomerRealm();
        //设置缓存管理器
        customerRealm.setCachingEnabled(false);
        customerRealm.setAuthenticationCachingEnabled(true);
        customerRealm.setAuthenticationCacheName("AuthenticationCache");
        customerRealm.setAuthorizationCachingEnabled(true);
        customerRealm.setAuthorizationCacheName("AuthorizationCache");

        return customerRealm;
    }

}

三、编写自己的token来继承UsernamePasswordToken
由于我们使用shiro认证的时候已经不在是使用username和password,而是通过Jwt用username和password来生成的token进行认证,所以我们需要自己来写UsernamePasswordToken,以便subject.login(token)

public class JwtToken extends UsernamePasswordToken {
    private String token;

    public JwtToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

四、MyFilter
我们编写自己的Filter需要继承BasicHttpAuthenticationFilter(shiro的身份认证过滤器),我们需要重写executeLogin和isAccessAllowed,在executeLogin中,通过ServletRequest直接获取token,生成JwtToken,来进行getSubject(request, response).login(jwtToken)操作,实际上就是subject.login(token),最终会调用自定义realm中的doGetAuthenticationInfo方法。
我们在Filter中如果认证失败,可以直接设置返回需要的内容response.getWriter().print(…);

@Component
public class MyFilter extends BasicHttpAuthenticationFilter {


    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Token");
        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        try {
            getSubject(request, response).login(jwtToken);
            // 如果没有抛出异常则代表登入成功,返回true
            return true;
        } catch (AuthenticationException e) {
            response.setCharacterEncoding("utf-8");
            response.getWriter().print("error");
            return false;
        }

    }



    /**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        try {
            return executeLogin(request, response);
            // return true;有一篇博客这里直接返回true是不正确的,在这里我特别指出一下
        } catch (Exception e) {
            System.out.println("JwtFilter过滤认证失败!");
            return false;
        }
    }


    /**
     * 对跨域提供支持
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }
}

五、CustomerRealm
自定义Realm,doGetAuthenticationInfo中,核心是我们先通过token获取username,通过username再查询数据库来获取password,最后调用JwtUtil.verify(token, username, user.getPassword()方法,来判断token是否匹配是否过期

public class CustomerRealm extends AuthorizingRealm {

    @Autowired
    @Lazy
    private UserService userService;


    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }

    //授权

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        //shiro中Principal存储的是字符串
 //       String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
//       User user = userService.getUserByPrincipal(primaryPrincipal);

        //也可以直接存储user对象,以便在程序中直接获取使用,但是AuthenticationInfo在存储的时候也需要做响应的处理
        String username = JwtUtil.getUsername(principalCollection.toString());
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        List<String> pers = userService.getPers();
        for (String per : pers) {
            authorizationInfo.addStringPermission(per);
        }
        return authorizationInfo;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String token = (String) authenticationToken.getPrincipal();
        // 解密获得username,用于和数据库进行对比
        String username = null;
        try {
            //这里工具类没有处理空指针等异常这里处理一下(这里处理科学一些)
            username = JwtUtil.getUsername(token);
        } catch (Exception e) {
            throw new AuthenticationException("heard的token拼写错误或者值为空");
        }
        if (username == null) {
            System.out.println("token无效(空''或者null都不行!)");
            throw new AuthenticationException("token无效");
        }
        User user = userService.getUserByUsername(username);
        if (user == null) {
            System.out.println("用户不存在!)");
            throw new AuthenticationException("用户不存在!");
        }
        if (!JwtUtil.verify(token, username, user.getPassword())) {
            System.out.println("用户名或密码错误(token无效或者与登录者不匹配)!");
            throw new AuthenticationException("用户名或密码错误(token无效或者与登录者不匹配)!");
        }
        return new SimpleAuthenticationInfo(token,token,this.getName());
    }
}

六、UserServiceImpl
由于我们的realm不能设置认证缓存,所以我们可以单独的设置获取权限的缓存

@Service("userService")
public class UserServiceImpl implements UserService {

    @Autowired
    private UserMapper userMapper;


    @Override
    public User getUserByUsername(String username) {
        return userMapper.getUserByUsername(username);
    }

   //获取权限,这里我为了简单测试,没有写参数
    @Override
    @Cacheable(value = "cache")
    public List<String> getPers() {
        System.out.println("请求了。。。。。。。。。。。。。");
        return userMapper.getPers();
    }
}

七、UserController
"/login"方法为公开方法,客户端登录后服务器返回token响应,其他方法为测试方法,都会被自定义Filter拦截进行认证。

@Controller
@RequestMapping("/user")
public class UserController {
    @Autowired
    private UserService userService;
    @RequestMapping("/login")
    @ResponseBody
    public String login(User user, HttpServletResponse response) throws Exception {
        String tokenStr = JwtUtil.sign(user.getUsername(), user.getPassword());
        JwtToken token = new JwtToken(tokenStr);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            System.out.println("认证成功");
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            httpServletResponse.setHeader("token", tokenStr);
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("认证失败");
        }
        return "success";
    }

    @RequestMapping("/test")
    @ResponseBody
    @RequiresPermissions("user:add:*")
    public String test() {
        return "success";
    }
}

后续改进:
一、安全性问题
这里我们使用了token进行登录认证,由于每次客户端请求服务器的时候都需要带上token,所以存在一定的风险被窃取,这样黑客极有可能拿着token来窃取服务器数据或者攻击,所以为了安全,token的过期时间往往设置的比较短,但是这样也带来一个问题,就是用户每过一段时间就需要重新登录认证,显然这样是不够友好的。
解决办法:服务器在生成token的时候也会生成一个refresh-token,并把refresh-token保存在redis中,并把这两个token都发送给客户端,客户端将token和refresh-token保存的浏览器内存里,在请求数据的时候只带上token,服务器检测token有效后还比对 Token 中的时间戳与缓存中的 RefreshToken 时间戳是否一致,一致后才能请求到数据。当发现token过期的时候,客户端会使用refresh-token来向服务器请求刷新token,服务器会生成新的token和refresh-token,刷新redis中的refresh-token,并把两个新的token发送给客户端,这样一来,refresh-token只在第一次和刷新token的时候才会进行传输,就降低了被窃取的风险,黑客即便是拿到了token,但如果没有拿到refresh-token,短时间内的数据丢失和破坏也是在有限范围。同时通过设置refresh-token,还会带来另一个好处,就是我们可以通过控制服务器redis中的refresh-token来间接控制jwt的token认证。、

二、用户登出的问题
当我们使用refresh-token的时候,我们可以通过控制redis中的refresh-token来控制用户是否登出(通过删除refresh-token来实现),如果我们一些简单的项目没有使用refresh-token怎么办呢?
解决办法:我们可以设置token的黑名单,比如登出的时候把token添加到黑名单中,并在我们自定义的Filter中的进行检测请求token是否在黑名单中,如果在黑名单中,就报错,提示登录失败。

梨花烧
关注
  • 13
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt 如何防止token被拦截_Shiro使用Jwt达到前后端分离
weixin_39612720的博客
01-09 584
作者:fzsywhttps://www.cnblogs.com/fzsyw/p/11405504.html1,概述前后端分离之后,因为HTTP本身是无状态的,Session就没法用了。项目采用jwt的方案后,请求的主要流程如下:用户登录成功之后,服务端会创建一个jwttoken(jwt的这个token中记录了当前的操作账号),并将这个token返回给前端,前端每次请求服务端的数据时,都...
shiro如何返回token给前端_前后端分离架构下,如何通过shiro进行认证和权限控制?...
weixin_30824577的博客
01-25 3021
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理,无论什么时候,用户认证和权限控制都是一个永恒的话题,前后端分离是当前很火的一种开发模式,便于前、后端人员专注于自己的逻辑实现,也更有利于大规模协作开发,在此开发模式下,如何使用shiro呢?本文的方案基于token认证授权,来自于实际项目,现将主要思路整理出来分享给大家,欢迎探讨,如需要源码请私信...
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
SpringSecurity + JWT实战(前后端分离
最新发布
As_Yua的博客
08-05 1624
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
基于JWT后端token认证
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
shiro前后端分离模式
weixin_42510217的博客
11-25 1148
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 3030
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
cas shiro 前后端分离 登录_SpringBoot+Shiro前后端分离项目通过JWT实现自动登录-阿里云开发者社区...
weixin_39866487的博客
12-19 313
SpringBoot+Shiro前后端分离项目通过JWT实现自动登录虽然 Shiro 本身可以支持扩展 RememberMe 功能,但仅限于传统项目因为 Shiro 的用户信息是基于 Session 进行管理,在前后端分离的项目中无法实现 Session 状态的前后统一所以本文通过 JWTShiro 原生的 Session 控制进行替换,从而实现用户信息的前后传递及判断更多精彩涉及资料导入项...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis ... (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。  (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。  这当然不是我们
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
Spring boot整合shiro+jwt实现前后端分离
08-25
JwtToken jwtToken = new JwtToken(subject.getPrincipal().toString(), loginService.getUserInfo(subject.getPrincipal().toString())); return Response.ok(jwtToken); } @GetMapping("/hello") public ...
sso单点登录的原理详解,及Shiro同时支持Session和JWT Token两种认证方式,和Session和JWT整合方案
阿啄debugIT
08-25 1112
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
shiro 前后端分离_前后端分离
weixin_39709194的博客
11-22 1868
1、背景 前后端分离已成为互联网项目开发的业界标准使用方式,通过nginx+tomcat的方式(也可以中间加一个nodejs)有效的进行解耦,并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。这个步骤是系统架构从猿进化成人的必经之路。核心思想是前端HTML页面通过AJ...
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 528
作者|GIT提交不上|简书一、Shiro简介  Apache ShiroJava的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
前后端分离后端shiro权限认证
weixin_43160956的博客
12-28 3902
参考https://my.oschina.net/sprouting/blog/3059282 简述: shiro是根据sessionID来识别是不是同一个request,但如果前后分离的话,就会出现跨域的问题,session很可能就会发生变化,这样就需要用一个标记来表明是同一个请求 1.shiro有三大组件 1.1 Subject 代表当前与程序进行交互的使用者 1.2 SecurityMana...
前后端分离接口规范
公众号:Java后端
05-30 514
作 者:猿码道来 源:jianshu.com/p/c81008b68350广而告之:由于此订阅号换了个皮肤,系统自动取消了读者的公众号置顶。导致用户接受文章不及时。可以打...
Shiro+JWT 前后端分离方案
twx843571091的博客
05-17 3747
Shiro+JWT 前后端分离方案 理论的东西就不说了,网上一大堆教程。 因为我本身web应用做得比较多,所以本篇文章主要是结合SpringBoot来讲解。当然shiro也是支持standlon模式使用的(可以参考我的另一篇文章 自定义Realm) 使用SpringBoot,最优的依赖方案是shiro-spring-boot-starter <dependency> <groupId>org.apache.shiro</groupId> <artifactI
Spring Boot + Shiro + JWT前后端分离权限管理实战
在本文中,我们将深入探讨如何在Spring Boot项目中整合Apache Shiro和JSON Web Tokens (JWT) 来实现前后端分离的权限管理。Shiro是一个强大的企业级身份和访问管理框架,而JWT则用于安全地在客户端和服务端之间传递...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值