【Shiro 自学笔记八】Spring Boot 环境下 Shiro 整合 JWT

最新推荐文章于 2022-11-14 16:13:41 发布
最新推荐文章于 2022-11-14 16:13:41 发布
阅读量164 收藏 1
点赞数
分类专栏: java 文章标签: shiro jwt java 安全 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45901207/article/details/107582458
版权

文章目录

这一期我们用 Shiro 整合 JWT。

自定义 token

我们之前使用 Shiro 提供的 UsernamePasswordToken,这次我们需要自定义一个 token,实现空参构造、全参构造、GetSet:

@NoArgsConstructor
@AllArgsConstructor
@Getter
@Setter
public class JwtPasswordToken implements AuthenticationToken {
    private String access_token;
    private String password;

    @Override
    public Object getPrincipal() {
        return access_token;
    }

    @Override
    public Object getCredentials() {
        return password;
    }
}

自定义 Realm

重写 supports 修改 token 类型为自定义 token。

重写登录认证过程,如果 password 存在,就走登录流程;不存在就走 token 验证流程。

由于证书不能为空,所以我们用 DEFAULT_PASSWORD 代替:

@Component
public class UserRealm extends AuthorizingRealm {

  @Autowired
  private UserServiceImpl userService;

  @Override
  public boolean supports(AuthenticationToken token) {
    return token instanceof JwtPasswordToken;
  }

  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    return null;
  }

  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException, MalformedJwtException, ExpiredJwtException {
    Claims claims = JwtUtil.parseToken((String) authenticationToken.getPrincipal());
    String username = claims.getAudience();
    String password = (String) authenticationToken.getCredentials();

    if ("DEFAULT_PASSWORD".equals(password)) {
      return new SimpleAuthenticationInfo(
          authenticationToken.getPrincipal(),
          Md5Util.getMd5("DEFAULT_PASSWORD"),
          ByteSource.Util.bytes("koorye_love_md5"),
          this.getName()
      );
    } else {
      User user = userService.getUserByUsername(username);
      if (user == null) {
        return null;
      }
      return new SimpleAuthenticationInfo(
          authenticationToken.getPrincipal(),
          userService.getUserByUsername(claims.getAudience()).getPassword(),
          ByteSource.Util.bytes("koorye_love_md5"),
          this.getName()
      );
    }
  }
}

自定义 Filter

自定义的 Filter 继承 Shiro 提供的 BasicHttpAuthenticationFilter,重写:

  • isAccessAllowed 判断是否通过
  • isLoginAttempt 判断请求类型,此处检测是否拥有 token
  • executeLogin 尝试认证,由于证书不能为空,此处我们传入一个 DEFAULT_PASSWORD

getSubject(request, response).login(token) 用于请求 Realm 认证

public class JwtFilter extends BasicHttpAuthenticationFilter {
  @SneakyThrows
  @Override
  protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    if (isLoginAttempt(request, response)) {
      return executeLogin(request, response);
    } else {
      return false;
    }
  }

  @Override
  protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
    HttpServletRequest httpServletRequest = (HttpServletRequest) request;
    String access_token = httpServletRequest.getHeader("access_token");
    return access_token != null;
  }

  @Override
  protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
    HttpServletRequest httpServletRequest = (HttpServletRequest) request;
    String access_token = httpServletRequest.getHeader("access_token");
    if (access_token == null) {
      throw new UnknownAccountException();
    }

    JwtPasswordToken token = new JwtPasswordToken(access_token, "DEFAULT_PASSWORD");
    getSubject(request, response).login(token);
    return true;
  }
}

配置网络安全管理器

修改 Shiro 的配置类,关闭 Session 缓存:

  @Bean(name = "webSecurityManager")
  public DefaultWebSecurityManager defaultWebSecurityManager(UserRealm realm) {
    DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
    defaultWebSecurityManager.setRealm(realm);

    DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
    DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
    defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
    subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
    defaultWebSecurityManager.setSubjectDAO(subjectDAO);

    return defaultWebSecurityManager;
  }

配置过滤规则

修改 Shiro 配置类,自定义过滤器和过滤规则:

  @Bean
  public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager webSecurityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(webSecurityManager);

    Map<String, Filter> filterMap = new HashMap<>();
    filterMap.put("jwt", new JwtFilter());
    shiroFilterFactoryBean.setFilters(filterMap);

    Map<String, String> filterRuleMap = new HashMap<>();
    filterRuleMap.put("/api/**", "jwt");
    filterRuleMap.put("/api/login", "anon");
    filterRuleMap.put("/api/register", "anon");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterRuleMap);

    return shiroFilterFactoryBean;
  }

登录控制器

登录时将用户传入的用户名生成 token,再调用 login 登录:

  @RequestMapping("/api/login")
  public ResponseEntity<Map<String, String>> login(String username, String password) throws Exception {
    Subject subject = SecurityUtils.getSubject();
    String token = JwtUtil.getToken(username, 1800);
    JwtPasswordToken jwtToken = new JwtPasswordToken(token, password);
    subject.login(jwtToken);

    if (subject.isAuthenticated()) {
      String access_token = JwtUtil.getToken(username, 30 * 60);
      Map<String, String> map = new HashMap<>();
      map.put("ret_code", "201");
      map.put("access_token", access_token);
      return new ResponseEntity<>(map, HttpStatus.OK);
    } else {
      Map<String, String> map = new HashMap<>();
      map.put("ret_code", "403");
      map.put("err_msg", "Login failed.");
      return new ResponseEntity<>(map, HttpStatus.BAD_REQUEST);
    }
  }

全局异常控制器

实现一个异常控制器类,统一处理所有异常:

@RestController
@ControllerAdvice
public class ExceptionController {
  @ExceptionHandler(UnknownAccountException.class)
  public ResponseEntity<Map<String, String>> unknownAccountException() {
    Map<String, String> map = new HashMap<>();
    map.put("ret_code", "401");
    map.put("err_msg", "User is not EXIST!");
    return new ResponseEntity<>(map, HttpStatus.BAD_REQUEST);
  }

  @ExceptionHandler(IncorrectCredentialsException.class)
  public ResponseEntity<Map<String, String>> incorrectCredentialsException() {
    Map<String, String> map = new HashMap<>();
    map.put("ret_code", "402");
    map.put("err_msg", "Password is ERROR!");
    return new ResponseEntity<>(map, HttpStatus.BAD_REQUEST);
  }

  @ExceptionHandler(AuthenticationException.class)
  public ResponseEntity<Map<String, String>> authenticationException() {
    Map<String, String> map = new HashMap<>();
    map.put("ret_code", "403");
    map.put("err_msg", "Token is ERROR!");
    return new ResponseEntity<>(map, HttpStatus.BAD_REQUEST);
  }

  @ExceptionHandler(MalformedJwtException.class)
  public ResponseEntity<Map<String, String>> malformedJwtException() {
    Map<String, String> map = new HashMap<>();
    map.put("ret_code", "403");
    map.put("err_msg", "Token is ERROR!");
    return new ResponseEntity<>(map, HttpStatus.BAD_REQUEST);
  }

  @ExceptionHandler(ExpiredJwtException.class)
  public ResponseEntity<Map<String, String>> expiredJwtException() {
    Map<String, String> map = new HashMap<>();
    map.put("ret_code", "404");
    map.put("err_msg", "Token is EXPIRED!");
    return new ResponseEntity<>(map, HttpStatus.BAD_REQUEST);
  }
}

测试

使用 postman 模拟登录:

在这里插入图片描述

返回:

{
    "access_token": "eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJrb29yeWUiLCJzdWIiOiJzaGlyb19kZW1vIiwiYXVkIjoia29vcnllIiwiaWF0IjoxNTk1NjcwNzU2LCJleHAiOjE1OTU2NzI1NTZ9.avA3lQBzoxN-rF0qQq-36XQnRMTX-iH-FRRf98Xhykw",
    "ret_code": "201"
}

模拟访问:

在这里插入图片描述

返回:

You are an admin.

pc3MiOiJrb29yeWUiLCJzdWIiOiJzaGlyb19kZW1vIiwiYXVkIjoia29vcnllIiwiaWF0IjoxNTk1NjcwNzU2LCJleHAiOjE1OTU2NzI1NTZ9.avA3lQBzoxN-rF0qQq-36XQnRMTX-iH-FRRf98Xhykw",
“ret_code”: “201”
}


模拟访问:

[外链图片转存中...(img-QVmX4ugi-1595671362694)]

返回:

```json
You are an admin.
Koorye
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6295
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
Java专题_01】springboot+Shiro+Jwt整合方案
热门推荐
weixin_40736233的博客
04-02 1万+
Java专题_01】springboot+Shiro+Jwt整合方案
SpringBoot整合Shiro + JWT实现用户认证
qq_44709990的博客
02-28 4057
SpringBoot整合Shiro + JWT实现用户认证   登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Shiro + JWT实现登录及用户认证   Shiro相较于Spring Security而言是一款轻量级的安全框架,使用它我们可以不在数据库中设计权限相关的表,如果我们只需要处理匿名可访问接口和登录后可访问接口,那么使用Shiro将会很方便。在之前的博客里,我介绍了Spring Security的使用,以及JWT的由来等,有需要的可以传送: 【全网最细致
SpringBoot整合Shiro验证Jwt
最新发布
m0_51382710的博客
11-14 343
使用SpringBoot整合Shiro对token进行校验
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2229
Springboot整合Shiro+JWT实现用户登录认证和权限授权
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
在本文中,我们将深入探讨如何在Spring Boot应用中集成Apache Shiro框架,以实现动态加载权限的功能。Shiro是一个强大的安全框架,可以帮助我们处理身份验证(登录)、授权(权限管理)以及会话管理等问题。 首先,...
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
Spring Boot 整合 Shiro+Thymeleaf 过程解析 Spring Boot 是一个基于Java的开源框架,提供了 eine 可以快速构建生产级别的应用程序的方法,而 Shiro 是一个功能强大且灵活的安全框架,提供了身份验证、授权、加密...
spring boot 整合JWT+shiro
10-09
在本文中,我们将深入探讨如何将`Spring Boot`与`JWT (JSON Web Token)`和`Shiro`框架整合,以实现安全的身份验证和授权管理。`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
SpringBoot集成ShiroJwt和Redis
10-24
SpringBoot集成ShiroJwt和Redis,使用MyBatisPlus框架实现后台数据库操作。
基于SpringBoot实现Shiro整合JWT
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
02-26 2211
在上一篇文章基于SpringBootShiro完成了对shiro整合,这一篇文章我们不妨对项目进行进一步优化,完成基于JWT优化安全校验框架的优化。调用登录接口。若登录通过,即可直接使用当前登录角色的权限调用相关接口。但是这种方式也存在着一定的局限性,由于Shiro认证后会将结果缓存在session会话中,对于分布式结构,session不共享的局限性就暴露出来了。所以为了保证一处认证,处处服务器可用,我们需要整合JWT来完善这个现有的认证逻辑。
SpringBoot整合Shiro+Jwt
Amber_Flying的博客
08-28 1711
springboot整合shiro+jwt 学习博客链接:https://blog.csdn.net/wws_p/article/details/107126321(万分感谢) 一、搭建数据库环境 CREATE DATABASE `shiro`; USE `shiro`; DROP TABLE IF EXISTS `role_per`; CREATE TABLE `role_per` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '表主键
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 6058
SpringBoot 项目中使用 Shiro 安全框架和 JWT 来进行用户验证与权限控制
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7089
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
SpingBoot整合ShiroJWT
weixin_46648650的博客
03-14 5912
SpingBoot整合ShiroJWT 项目地址:https://github.com/seam95/SpringBoot-Shiro-Jwt.git Shiro学习知识点 Authentication:身份认 证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Management:会话管
springboot整合shiro+jwt+redis详解
zwjzone的博客
05-30 3484
springboot整合shiro+jwt+redis详解
SpringBoot整合 shiro + jwt,并会话共享
Ethereal的博客
06-24 681
shiro基本原理,以及使用SpringBoot整合 shiro + jwt,并会话共享。
"Spring Boot整合Shiro搭建权限管理系统教学指南
Spring Boot整合Shiro搭建权限管理系统是一项非常重要的教学内容,它涉及了在现代Web应用程序开发中必不可少的权限管理功能。本教学提纲以"Spring Boot整合Shiro搭建权限管理系统"为主题,通过详细的步骤和示例,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值