JWT Shrio 代码-立哥开发

最新推荐文章于 2022-12-30 17:36:48 发布
最新推荐文章于 2022-12-30 17:36:48 发布
阅读量234 收藏
点赞数
分类专栏: 项目实例 文章标签: shiro jwt java spring web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45806384/article/details/110394898
版权

package com.zong.config.shiro.jwt;

import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.zong .exception.CustomException;
import com.zong .model.common.Constant;
import com.zong .model.common.ResponseBean;
import com.zong .util.JedisUtil;
import com.zong .util.JwtUtil;
import com.zong .util.common.JsonConvertUtil;
import com.zong .util.common.PropertiesUtil;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;


public class JwtFilter extends BasicHttpAuthenticationFilter {
   
    private static final Logger logger = LoggerFactory.getLogger(JwtFilter.class);

   
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
      
        if (this.isLoginAttempt(request, response)) {
            try {
                
                this.executeLogin(request, response);
            } catch (Exception e) {
                
                String msg = e.getMessage();
                
                Throwable throwable = e.getCause();
                if (throwable instanceof SignatureVerificationException) {
                    
                    msg = "Token或者密钥不正确(" + throwable.getMessage() + ")";
                } else if (throwable instanceof TokenExpiredException) {
                    
                    if (this.refreshToken(request, response)) {
                        return true;
                    } else {
                        msg = "Token已过期(" + throwable.getMessage() + ")";
                    }
                } else {
                   
                    if (throwable != null) {
                       
                        msg = throwable.getMessage();
                    }
                }
                
                this.response401(response, msg);
                return false;
            }
        } else {
            
            HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
           
            String httpMethod = httpServletRequest.getMethod();
            
            String requestURI = httpServletRequest.getRequestURI();
            logger.info("当前请求 {} Authorization属性(Token)为空 请求类型 {}", requestURI, httpMethod);
            // mustLoginFlag = true 开启任何请求必须登录才可访问
            final Boolean mustLoginFlag = false;
            if (mustLoginFlag) {
                this.response401(response, "请先登录");
                return false;
            }
        }
        return true;
    }

    /**
     * 这里我们详细说明下为什么重写
     * 可以对比父类方法,只是将executeLogin方法调用去除了
     * 如果没有去除将会循环调用doGetAuthenticationInfo方法
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        this.sendChallenge(request, response);
        return false;
    }

    /**
     * 检测Header里面是否包含Authorization字段,有就进行Token登录认证授权
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        // 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
        String token = this.getAuthzHeader(request);
        return token != null;
    }

    /**
     * 进行AccessToken登录认证授权
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        // 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
        JwtToken token = new JwtToken(this.getAuthzHeader(request));
        // 提交给UserRealm进行认证,如果错误他会抛出异常并被捕获
        this.getSubject(request, response).login(token);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        // 跨域已经在OriginFilter处全局配置
        /*HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
        HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个OPTIONS请求,这里我们给OPTIONS请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }*/
        return super.preHandle(request, response);
    }

    /**
     * 此处为AccessToken刷新,进行判断RefreshToken是否过期,未过期就返回新的AccessToken且继续正常访问
     */
    private boolean refreshToken(ServletRequest request, ServletResponse response) {
        // 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
        String token = this.getAuthzHeader(request);
        // 获取当前Token的帐号信息
        String account = JwtUtil.getClaim(token, Constant.ACCOUNT);
        // 判断Redis中RefreshToken是否存在
        if (JedisUtil.exists(Constant.PREFIX_SHIRO_REFRESH_TOKEN + account)) {
            // Redis中RefreshToken还存在,获取RefreshToken的时间戳
            String currentTimeMillisRedis = JedisUtil.getObject(Constant.PREFIX_SHIRO_REFRESH_TOKEN + account).toString();
            // 获取当前AccessToken中的时间戳,与RefreshToken的时间戳对比,如果当前时间戳一致,进行AccessToken刷新
            if (JwtUtil.getClaim(token, Constant.CURRENT_TIME_MILLIS).equals(currentTimeMillisRedis)) {
                // 获取当前最新时间戳
                String currentTimeMillis = String.valueOf(System.currentTimeMillis());
                // 读取配置文件,获取refreshTokenExpireTime属性
                PropertiesUtil.readProperties("config.properties");
                String refreshTokenExpireTime = PropertiesUtil.getProperty("refreshTokenExpireTime");
                // 设置RefreshToken中的时间戳为当前最新时间戳,且刷新过期时间重新为30分钟过期(配置文件可配置refreshTokenExpireTime属性)
                JedisUtil.setObject(Constant.PREFIX_SHIRO_REFRESH_TOKEN + account, currentTimeMillis, Integer.parseInt(refreshTokenExpireTime));
                // 刷新AccessToken,设置时间戳为当前最新时间戳
                token = JwtUtil.sign(account, currentTimeMillis);
                // 将新刷新的AccessToken再次进行Shiro的登录
                JwtToken jwtToken = new JwtToken(token);
                // 提交给UserRealm进行认证,如果错误他会抛出异常并被捕获,如果没有抛出异常则代表登入成功,返回true
                this.getSubject(request, response).login(jwtToken);
                // 最后将刷新的AccessToken存放在Response的Header中的Authorization字段返回
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
                httpServletResponse.setHeader("Authorization", token);
                httpServletResponse.setHeader("Access-Control-Expose-Headers", "Authorization");
                return true;
            }
        }
        return false;
    }

    /**
     * 无需转发,直接返回Response信息
     */
    private void response401(ServletResponse response, String msg) {
        HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
        httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json; charset=utf-8");
        try (PrintWriter out = httpServletResponse.getWriter()) {
            String data = JsonConvertUtil.objectToJson(new ResponseBean(HttpStatus.UNAUTHORIZED.value(), "无权访问(Unauthorized):" + msg, null));
            out.append(data);
        } catch (IOException e) {
            logger.error("直接返回Response信息出现IOException异常:{}", e.getMessage());
            throw new CustomException("直接返回Response信息出现IOException异常:" + e.getMessage());
        }
    }
}

上海交大果粒 人工智能学者 全栈工程师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+jwt+Shiro+redis等开发的小说系统
01-16
Spring Boot Spring 应用快速开发脚手架 MyBatis 持久层 ORM 框架 MyBatis Dynamic SQL Mybatis 动态 sql PageHelper MyBatis 分页插件 MyBatis Generator 持久层代码生成插件 Sharding-JDBC 代码层分库分表中间件 ...
RPA 量化交易系统 代码-Py语言版-立哥开发
weixin_45806384的博客
08-14 529
Python 3.7.5 (tags/v3.7.5:5c02a39a0b, Oct 15 2019, 00:11:34) [MSC v.1916 64 bit (AMD64)] on win32 Type "help", "copyright", "credits" or "license()" for more information. >>> # installed via pip #Copy right 2020 Jacky Zong . All rihgts reserv...
Shiro +JWT 自定义spring-boot-starter
gzt19881123的专栏
05-31 1318
Shiro 是什么 ? 不多说了,一个java 安全认证框架 ,类似于Spring-security,两者异同网上多了去,个人比较喜欢shiro ,简单易懂。 JWT 是什么 ? java web token 的简称 为什么要 shiro + JWT ? 现在微服务架构,前后端分离架构,综合 PC、 APP 、小程序、微信等,采用一个令牌作为登录用户身份的象征,不再用原来的浏览器Session作为登录凭证。 小程序 微信 等应该没有 cookie 、session概念。 采用统一 jwt 一劳永逸解决所有前
SpringBoot+Shiro+JWT+Mybatis-Plus搭建admin-shiro管理系统
热门推荐
qq_45660133的博客
12-30 1万+
从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus,(为简化开发而生,只需简单配置,即可快速进行) CRUD 操作,从而节省大量时间。 作为一个项目骨架,权限也是我们不能忽略的,Apache Shiro 是一款强大易用的 Java 安全框架
Springboot+JWT+Shiro集成完全版(带测试示例)
洛雪
05-24 833
相信大家已经对shirojwt有基本的概念了,不熟悉的可以看下 jwt:https://blog.csdn.net/Goligory/article/details/104400381 对于shiro等会我贴上代码然后简单分析下 maven引入 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-s...
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud,认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
kuangjia:SpringBoot+JWT+Shiro+MybatisPlus后端脚手架
05-14
一、背景前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。Mybatis-Plus是一个...
springboot-dubbo-shiro:博客后台源代码-后台
03-24
基于springboot,dubbo,shirojwt的restful风格api 项目结构 . ├── app-api api接口 ├── app-provider dubbo服务提供者 ├── app-utils 通用工具模块 ├── app-web dubbo服务消费者 ├── pom.xml ...
由浅入深掌握Shiro权限框架资料.zip
最新发布
07-31
详细的资料(统一鉴权模块、shiro的创建机制、Shiro相关数据库脚本、shiro知识体系图谱)、每个知识点的源代码 学习目标: 1、权限系统的整体概念;2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、...
上海-苏锡常先进智能制造实践技术浅析一二-立哥技术
weixin_45806384的博客
10-07 3330
前言:这个国庆假期,笔者陪同家人一起游玩,也顺便考察了下浙江杭州的先进智能制造实践技术的发展。江苏的苏锡常是笔者的故乡,目前笔者在上海浦东买了房子,在上海工作生活。对比之下,发现了上海-苏锡常技术方面和浙江相比的优势,当然也有不足。发展先进制造这是产业新的领域,没有先例可以仿造,这里笔者结合多年技术从业经验,希望抛砖引玉,和诸位方家一起学习探讨。 IOT信息化系统技术 中国的企业信息化真正铺开是00年开始的ERP系统运用,大概持续了十年时间,然后10后MES和OA兴起,15年后产生了革命性变化,IOT技
中国移动(ECIA)云网工程师技术知识-立哥技术
weixin_45806384的博客
01-12 1564
Server(服务器)的常见类型:塔式、柜式、密集型。 Server三大件:CPU、内存、硬盘。 块存储技术,云化应用。 云存储的王者,RAID磁盘管理技术。 SQL、NoSQL数据库-云上数据库(虚拟化技术) OSI七层模型 TCP/IP 五层模型 Linux指令码 网络安防:物理安全、网络安全、主机安全、应用安全、数据安全。 物联网通讯与中国移动云网融合。 5G 中国移动的标准,技术特点,场景应用。 区块链技术(比特币发展) 重点:云化技术-物理机、松耦合、Iaas层基础。 ...
Chrome 前端页面调试技巧
weixin_45806384的博客
06-21 1358
Chrome浏览器是工程师开发页面,查阅代码编写效果的有力工具。不建议在可视化菜单中,调用。直接F12快捷键,目前Chrome同时支持,PC端与移动端的审阅。 Element汲取 校验div 、js、CSS代码效果,采用吸管工具,汲取相关element参数。确定实现的代码是否被服务器端渲染(目前比较流行SSR) ,DOM被Chrome解析。在模仿其他页面,也可以模拟参数,实现仿站。 Console部分 Console的类目,立哥在实际的调试中用的运用不是很多。主要用来查看框架架构。在...
智能家居 ZigBee 串口通讯代码 -立哥开发
weixin_45806384的博客
05-23 984
void setup() { Serial.begin(115200); znp_serial.begin(115200); Serial.println("\nstart_coordinator(0)"); if (zigbee_network.start_coordinator(0) == 0) { Serial.println("OK"); } else { Serial.println("NG"); } } char serial_cmd; void loop() { if (Serial.a
智能汽车雷达解析-立哥技术
weixin_45806384的博客
02-12 960
前言:汽车行业是我国的支柱产业之一,也是上海的支柱产业。上海的辉煌,既是欧风美雨的产物,也是一代代中国人奋斗的结晶。除了特斯拉在临港设立的“亚洲第一超级工厂”,上汽也和美国、德国等一线厂商,展开紧密合作,例如上汽通用。还有以前风靡全国的桑塔纳轿车都是上海生产的。嘉定那边的汽车城,集齐了几乎所有全世界的知名汽车品牌;浦东张江云集了 像百度无人驾驶等一系列AI智能汽车系统企业。如今智能化时代,电子系统在汽车价值链中比重越来越大,雷达作为其中核心,对于安全驾驶,倒车入库等刚需是极其重要的。这里笔者作为资深工程师.
C++ Servo Drive Code 伺服驱动代码-立哥开发
weixin_45806384的博客
07-01 831
// Copy Right by Jacky Zong . Vision 3.20 . This optional setting causes Encoder to //use more optimized code, // but the downside is a conflict if any other part of your sketch // or any other library you’re using requires attachInterrupt(). // It must
STM32 实战中的一些技术问题解决
weixin_45806384的博客
08-23 682
然后就可以根据计算出来的 Hash 值,去设置 ETH_MACHT0R 和 ETH_MACHT1R 寄存器了。5.4对第一步的计算值进行按位反转顺序 ,取第二步计算值的高 6 位。5.1第一个 32 位数据进行补码运算输入的数据都进行按位反转顺序。5.2 进行 CRC32 计算,多项式为 0x4C11DB7。5.3对最终输出数据进行补码运算。
音乐播放器代码-Java
weixin_45806384的博客
04-27 532
lass MainActivity : AppCompatActivity() { override fun onCreate(savedInstanceState: Bundle?) { super.onCreate(savedInstanceState) setContentView(R.layout.activity_main) val uri = Uri.parse...
Android平台 蓝牙串口驱动代码(部分)-立哥开发
weixin_45806384的博客
05-16 502
import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; import java.util.ArrayList; import java.util.UUID; import android.app.Activity; import android.bluetooth.BluetoothAdapter; import android.bluetooth.BluetoothDevice; import
shiro+jwt+redis
05-19
Shiro是一个非常流行的Java安全框架,它提供了身份验证、授权、加密等功能,可以帮助开发人员快速地实现安全功能。 JWT是一种用于身份验证和授权的开放标准,它可以在客户端和服务器之间安全地传输信息,并且不需要在服务器端存储会话信息。 Redis是一款开源的内存数据库,它可以用于缓存、会话管理、消息队列等功能。在使用ShiroJWT时,我们可以使用Redis来存储用户会话信息、JWT令牌等。 结合使用ShiroJWT和Redis,可以实现高效、安全的身份验证和授权功能。具体实现方式可以参考相关的文档和代码示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值