Shiro-Jwt整合

最新推荐文章于 2024-05-27 13:56:04 发布
最新推荐文章于 2024-05-27 13:56:04 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot java github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45921593/article/details/122146170
版权

在这里插入图片描述

Shiro-Jwt整合

Github项目地址:https://github.com/realLiuzh/ShiroJwt-Verification

特性

  • SpringBoot整合Shiro-Jwt实现RBAC(Role-Based-Access-Control)。
  • 整合腾讯云SMS服务,实现手机号登录注册。
  • Validation实现参数校验。
  • 跨域支持。

前置知识

接口文档

https://www.showdoc.com.cn/1772458942730902/8234809986254447

准备Maven工程

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>com.lzh</groupId>
    <artifactId>ShiroJwt-Verification</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>ShiroJwt-Verification</name>
    <description>ShiroJwt-Verification</description>

    <properties>
        <java.version>1.8</java.version>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <spring-boot.version>2.3.7.RELEASE</spring-boot.version>
    </properties>

    <dependencies>

        <!--redis-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!--腾讯云-->
        <dependency>
            <groupId>com.tencentcloudapi</groupId>
            <artifactId>tencentcloud-sdk-java</artifactId>
            <version>3.1.270</version><!-- 注:这里只是示例版本号(可直接使用),可获取并替换为 最新的版本号,注意不要使用4.0.x版本(非最新版本) -->
        </dependency>

        <!--加密解密类-->
        <dependency>
            <groupId>org.jasypt</groupId>
            <artifactId>jasypt</artifactId>
            <version>1.9.3</version>
        </dependency>

        <!--validator-->
        <dependency>
            <groupId>org.hibernate</groupId>
            <artifactId>hibernate-validator</artifactId>
            <version>5.3.6.Final</version>
        </dependency>

        <!--jwt-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.12.0</version>
        </dependency>

        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3</version>
        </dependency>

        <!--fastjson-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.76</version>
        </dependency>

        <!--shiro-spring-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.7.0</version>
        </dependency>

        <!--mysql-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>commons-lang</groupId>
            <artifactId>commons-lang</artifactId>
            <version>2.6</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
                <version>${spring-boot.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.8.1</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>2.3.7.RELEASE</version>
                <configuration>
                    <mainClass>com.lzh.ShiroJwtVerificationApplication</mainClass>
                </configuration>
                <executions>
                    <execution>
                        <id>repackage</id>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

</project>

JwtUtil

package com.lzh.util;

/**
 * Jwt工具类
 *
 * @author 志昊的刘
 * @date 2021/12/21
 */
public class JwtUtil {

    /**
     * 生成token
     * claim:
     * username -> RealUsername
     * exp      -> 有效时间5天
     * 加密算法   -> HMAC256
     */
    public static String getToken(String username) {
        //username + 私钥 = 最终的secret
        Algorithm algorithm = Algorithm.HMAC256(username + Constant.JWT_PRIVATE_KEY);
        return JWT.create()
                //jwt payload
                .withClaim(Constant.JWT_CLAIM_KEY, username)
                //jwt 有效时间
                .withExpiresAt(new Date(System.currentTimeMillis() + Long.parseLong(Constant.JWT_EXPIRE_TIME) * 1000))
                .sign(algorithm);
    }

    /**
     * 检验token
     */
    public static void verifyToken(String token) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(getClaim(token, Constant.JWT_CLAIM_KEY) + Constant.JWT_PRIVATE_KEY);
            JWTVerifier jwtVerifier = JWT.require(algorithm).build();
            jwtVerifier.verify(token);
        } catch (Exception e) {
            e.printStackTrace();
            throw new AuthenticationException();
        }
    }

    /**
     * 获得Token中的荷载信息  (无需解码)
     */
    public static String getClaim(String token, String claimKey) {
        return JWT.decode(token).getClaim(claimKey).asString();
    }
}

Shiro组件

JwtToken

package com.lzh.data;


/**
 * 自定义JwtToken
 *
 * @author 志昊的刘
 * @date 2021/12/21
 */

@AllArgsConstructor
public class JwtToken implements AuthenticationToken {

    private String token;

    /**
     * 注意:实现的两个方法全部返回token。(对于理解ShiroJwt整合很重要)
     */
    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

JwtFilter

package com.lzh.config.filter;

/**
 * Jwt过滤器
 *
 * @author 志昊的刘
 * @date 2021/12/21
 */
@Slf4j
public class JwtFilter extends BasicHttpAuthenticationFilter {
    /**
     * 过滤器执行流程:
     * isAccessAllowed()->isLoginAttempt()->executeLogin()
     */

    /**
     * 是否允许访问
     * 逻辑:只有同时满足以下条件才允许该请求访问:
     * 1、请求头中携带token;
     * 2、token经过检验合格(通过自定义Realm的认证);
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginAttempt(request, response)) {
            try {
                executeLogin(request, response);
                return true;
            } catch (Exception e) {
                return false;
            }
        }
        return false;
    }

    /**
     * 是否有认证意愿
     * 逻辑:如果请求头中如有token则认为有认证意愿  (一定要把认证和登录概念区分开来)
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String token = req.getHeader(Constant.HTTP_HEADER_TOKEN);
        return token != null;
    }

    /**
     * 执行认证
     * 逻辑:在HttpHeader中获取前端传来的token,并将其封装为JwtToken。然后将JwtToken传给自定义Realm进行认证
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req = (HttpServletRequest) request;
        String token = req.getHeader(Constant.HTTP_HEADER_TOKEN);
        JwtToken jwtToken = new JwtToken(token);
        //提交给realm进行认证,如果发生错误,会在realm中抛出异常并捕获
        getSubject(request, response).login(jwtToken);
        //如果没有抛出异常则证明认证成功,返回true
        return true;
    }

    /**
     * 猜测:如果isAccessAllowed()返回false会调用sendChallenge()方法
     * sendChallenge()调用super.Challenge()方法 访问接口会返回401错误
     */
    @Override
    protected boolean sendChallenge(ServletRequest request, ServletResponse response) {
        log.debug("Authentication required: sending 401 Authentication challenge response.");
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        httpResponse.setCharacterEncoding("utf-8");
        httpResponse.setContentType("application/json;charset=utf-8");
        Response responseData = new Response();
        responseData.setCode(CustomExceptionType.NO_LOGIN.getCode());
        responseData.setMessage(CustomExceptionType.NO_LOGIN.getTypeDesc());

        PrintWriter out = null;
        try {
            out = httpResponse.getWriter();
        } catch (IOException e) {
            e.printStackTrace();
        }
        String json = JSON.toJSONString(responseData);
        assert out != null;
        out.print(json);
        out.flush();

        return false;
    }
}

CustomRealm

package com.lzh.config.shiro;

/**
 * 自定义Realm
 *
 * @author 志昊的刘
 * @date 2021/12/21
 */
public class CustomRealm extends AuthorizingRealm {


    @Autowired
    private UserMapper userMapper;

    @Autowired
    private RoleMapper roleMapper;


    /**
     * 大坑,必须重写此方法,不然Shiro会报错
     */
    @Override
    public boolean supports(AuthenticationToken authenticationToken) {
        return authenticationToken instanceof JwtToken;
    }

    /**
     * 认证
     * 这里认证并非真正的登录认证,shiro与jwt整合,登录还是由Service层负责
     * 而这里的认证承担的是校验Token的责任
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        JwtToken jwtToken = (JwtToken) authenticationToken;
        String token = (String) jwtToken.getPrincipal();

        JwtUtil.verifyToken(token);

        String username = JwtUtil.getClaim(token, Constant.JWT_CLAIM_KEY);
        /**
         * Q:这里的认证异常 AuthenticationException 抛给了谁?
         * A:层层调用后,抛给了JwtFilter的isAccessAllowed()方法 最终结果是isAccessAllowed()返回false。
         * Q:异常信息是什么?
         * A:异常信息是sendChallenge()中写死的方法,这里(包括JwtUtil中)抛出的认证异常仅仅起标识作用
         */
        if (username == null) {
            throw new AuthenticationException();
        }
        User user = userMapper.selectByUsername(username);

        if (user == null) {
            throw new AuthenticationException();
        }
        /**
         * param1:真实的用户名
         * param2:真实的密码
         * param3:该realm名称
         *
         * Shiro将param2与token中的credentials比较,如果相等则验证通过
         * 在这里比较结果恒为true
         */
        return new SimpleAuthenticationInfo(token, token, this.getName());
    }


    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        String username = JwtUtil.getClaim(principalCollection.toString(), Constant.JWT_CLAIM_KEY);

        UserDto userDto = userMapper.selectRoleByUserName(username);

        if (userDto.getRole() == null)
            return simpleAuthorizationInfo;

        RoleDto roleDto = roleMapper.selectPermissionByRoleId(userDto.getRole().getId());

        /**
         * 这里模拟的用户只有一个身份
         * 有多个身份调用addRoles()
         */
        simpleAuthorizationInfo.addRole(userDto.getRole().getName());
        simpleAuthorizationInfo.addStringPermission(roleDto.getPermission().getPerCode());
        return simpleAuthorizationInfo;
    }


}

ShiroConfig

package com.lzh.config.shiro;

/**
 * shiro配置类
 *
 * @author 志昊的刘
 * @date 2021/12/21
 */
@Configuration
public class ShiroConfig {

    /**
     * 将realm注入容器中
     */
    @Bean
    public CustomRealm customRealm() {
        return new CustomRealm();
    }

    /**
     * 使得securityManager生效
     */
    @Bean
    public DefaultWebSecurityManager manager(@Qualifier("customRealm") CustomRealm customRealm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //关联Realm(使CustomRealm生效)
        manager.setRealm(customRealm);

        //关闭Shiro自带的session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);
        return manager;
    }

    /**
     * 重要:配置过滤器和拦截路径
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("manager") DefaultWebSecurityManager manager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        factoryBean.setSecurityManager(manager);

        //添加过滤器
        Map<String, Filter> filters = new HashMap<>();
        filters.put("jwtFilter", new JwtFilter());
        factoryBean.setFilters(filters);

        //设置拦截路径 (与JwtFilter配合食用)
        Map<String, String> map = new HashMap<>();
        map.put("/user/usernameLogin", "anon");
        map.put("/user/phoneLogin", "anon");
        map.put("/user/register", "anon");
        map.put("/user/sendVerCode","anon");
        map.put("/**", "jwtFilter");

        factoryBean.setFilterChainDefinitionMap(map);

        //factoryBean.setUnauthorizedUrl("/user/unauth");
        return factoryBean;
    }


    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        // https://zhuanlan.zhihu.com/p/29161098
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("manager") DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }


}

其他一些工具类

加密工具类

package com.lzh.util;


/**
 * 加密工具类
 *
 * @author 志昊的刘
 * @date 2021/12/21
 */
public class EncryptUtil {

    /**
     * sh1加密方法加密
     */
    public static String encryptor(String input) {
        BasicPasswordEncryptor basicPasswordEncryptor = new BasicPasswordEncryptor();
        return basicPasswordEncryptor.encryptPassword(input);
    }

    /**
     * 检查密码的合法性
     */
    public static void checkPassword(String inputPassword, String realPassword) {
        BasicPasswordEncryptor passwordEncryptor = new BasicPasswordEncryptor();
        AssertUtil.isTrue(!passwordEncryptor.checkPassword(inputPassword, realPassword), CustomExceptionType.ACCOUNT_ERROR);
    }
}

短信工具类

package com.lzh.util;

import com.tencentcloudapi.common.Credential;
import com.tencentcloudapi.common.exception.TencentCloudSDKException;
import com.tencentcloudapi.common.profile.ClientProfile;
import com.tencentcloudapi.common.profile.HttpProfile;
import com.tencentcloudapi.sms.v20190711.SmsClient;
import com.tencentcloudapi.sms.v20190711.models.SendSmsRequest;
import com.tencentcloudapi.sms.v20190711.models.SendSmsResponse;

import static com.lzh.data.Constant.*;

/**
 * 短信发送工具类
 *
 * @author 志昊的刘
 * @date 2021/12/24
 */
public class SmsUtil {

    public static boolean sendSms(String phone, String captcha) {
        try {

            Credential cred = new Credential(SMS_SECRET_ID, SMS_SECRET_KEY);

            HttpProfile httpProfile = new HttpProfile();

            httpProfile.setConnTimeout(60);
            httpProfile.setEndpoint("sms.tencentcloudapi.com");

            ClientProfile clientProfile = new ClientProfile();
            clientProfile.setSignMethod("HmacSHA256");
            clientProfile.setHttpProfile(httpProfile);
            SmsClient client = new SmsClient(cred, "ap-guangzhou", clientProfile);
            // 实例化一个请求对象
            SendSmsRequest req = new SendSmsRequest();

            /**
             * 填充请求参数,这里request对象的成员变量即对应接口的入参
             */

            /* 短信应用ID: 短信SdkAppId在 [短信控制台] 添加应用后生成的实际SdkAppId,示例如1400006666 */
            req.setSmsSdkAppid(SMS_SDK_APP_ID);

            /* 短信签名内容: 使用 UTF-8 编码,必须填写已审核通过的签名,签名信息可登录 [短信控制台] 查看 */
            req.setSign(SMS_SIGN_NAME);

            /* 模板 ID: 必须填写已审核通过的模板 ID。模板ID可登录 [短信控制台] 查看 */
            req.setTemplateID(SMS_TEMPLATE_ID);

            /* 下发手机号码,采用 e.164 标准,+[国家或地区码][手机号]
             * 例如+8613711112222, 其中前面有一个+号 ,86为国家码,13711112222为手机号,最多不要超过200个手机号*/
            phone="86"+phone;
            String[] phoneNumbers = {phone};
            req.setPhoneNumberSet(phoneNumbers);

            /* 模板参数: 若无模板参数,则设置为空 */
            String[] templateParamSet = {captcha};
            req.setTemplateParamSet(templateParamSet);

            /* 通过 client 对象调用 SendSms 方法发起请求。注意请求方法名与请求对象是对应的
             * 返回的 res 是一个 SendSmsResponse 类的实例,与请求对象对应 */
            SendSmsResponse res = client.SendSms(req);

            // 输出json格式的字符串回包
            System.out.println(SendSmsResponse.toJsonString(res));

            // 也可以取出单个值,你可以通过官网接口文档或跳转到response对象的定义处查看返回字段的定义
            System.out.println(res.getRequestId());


        } catch (TencentCloudSDKException e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }
}
眠秋雨
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
【shiro】shiro整合JWT——3.执行流程
kevin的博客
06-02 1389
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,主要讲如何在shiro框架中配置Jwt,以及token执行的流程。该篇主要梳理整个代码的执行流程。ps:本文主要以记录核心思路为主,以下都是个人理解,有问题请各位大佬指导一下。登录获取token携带token请求。
Shiro+Jwt+Redis
最新发布
qq_43907296的博客
05-27 684
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
【shiro】shiro整合JWT——2.如何整合
kevin的博客
06-02 1396
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,我们知道了需要创建JwtToken、JwtUtil、JwtFilter。该篇主要讲如何在shiro框架中,配置Jwt。ps:本文主要以记录核心思路为主。
整合Shiro+Jwt
qq_57747969的博客
09-19 477
整合Shiro+Jwt大致思路
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8478
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
sping-boot-shiro-jwt-redis.zip
07-22
《Spring Boot整合Shiro、JWT与Redis实现Token自动刷新详解》 在现代Web开发中,安全性和用户体验是两个至关重要的方面。Spring Boot以其强大的功能和便捷的开发体验,已经成为Java后端开发的首选框架。而Shiro和...
shiro-jwt-oauth权限认证
11-11
Shiro和JWT(JSON Web Tokens)以及OAuth都是这个领域的重要工具和技术。下面将详细讲解这些概念及其相互结合的应用。 **Shiro** 是一个强大的、轻量级的Java安全框架,提供身份验证、授权、会话管理和加密服务。它...
oauth2-shiro-jwt:两种登录方式
05-14
1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求状态(0:失败;1:成功) messageCode int...
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证进行初步的分离。 首先,我们来了解JWT。JWT是一种轻量级的身份验证标准,它允许用户信息以安全、紧凑的方式在网络中传递。一个JWT...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、Shiro、JWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
Shiro之整合JWT篇
qq_43654581的博客
10-19 1056
1.整合JWT(JWT能很好的实现单点登录) 表单提交认证,认证成功后返回token,之后的请求携带token进行访问; 之前只需要认证一次,并将用户信息存储到session中; 使用jwt(无状态)之后,每次请求都需要重新认证,不用session,禁用session 2.整合swagger以便测试
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5796
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
Shiro整合JWT
m0_67391270的博客
03-28 1396
文章目录 基于token的身份验证 个人理解 jwt工具类 shiro部分修改 登录的修改: realm的修改: 自定义filter: 配置: 测试 总结 基于token的身份验证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 <!--JWT--> <dependency> <groupId>com.auth0</grou
【shiro】shiro整合JWT——1.需要创建的类
kevin的博客
06-02 928
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。JwtToken (JWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
Shiro系列(一)——Shiro + Springboot + JWT 整合
玖涯博客
02-17 1372
写在前面 本文的出现表示不再进行 Spring Security Oauth 实现的研究了,原因是原开源项目已经被废弃了不再更新了,而且 Oauth 实现的内容有些奇怪,新的项目 spring-authorization-server 目前才发布到 0.1.0,默认只提供了基于内存的实现,个人认为还不是很完善,不适合用到项目中。而且 Spring Security 的 Oauth 流程都实现了,要修改还得从新研究 spring-authorization-server 的实现逻辑,然后进行修改定制,太耗费精
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6218
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
【Java专题_01】springboot+Shiro+Jwt整合方案
热门推荐
weixin_40736233的博客
04-02 1万+
【Java专题_01】springboot+Shiro+Jwt整合方案
【shiro】shiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 2828
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token的刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
shiro整合jwt
08-26
在 Shiro 中整合 JWT(JSON Web Token),可以实现基于令牌的身份验证和授权机制。下面是一个简单的示例代码,演示了如何在 Shiro 中使用 JWT: 首先,需要创建一个 JWTRealm 类,继承自 Shiro 的 AuthenticatingRealm 类。在 JWTRealm 中,我们可以通过重写 doGetAuthenticationInfo 和 doGetAuthorizationInfo 方法来实现身份验证和授权逻辑。 ```java public class JWTRealm extends AuthenticatingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { JWTToken jwtToken = (JWTToken) authenticationToken; String token = jwtToken.getToken(); // 解析 JWT Token,获取用户名 String username = JWTUtil.getUsername(token); // 根据用户名查询数据库或其他存储,获取用户信息 User user = userService.findByUsername(username); // 如果用户不存在,抛出 UnknownAccountException 异常 if (user == null) { throw new UnknownAccountException("用户不存在"); } // 验证 Token 是否有效 if (!JWTUtil.verify(token, username, user.getPassword())) { throw new AuthenticationException("Token 验证失败"); } // 构造 SimpleAuthenticationInfo 对象,并返回 return new SimpleAuthenticationInfo(user, token, getName()); } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { // 从 PrincipalCollection 中获取当前用户信息 User user = (User) principalCollection.getPrimaryPrincipal(); // 查询用户的角色和权限信息 Set<String> roles = userService.findRolesByUsername(user.getUsername()); Set<String> permissions = userService.findPermissionsByUsername(user.getUsername()); // 构造 SimpleAuthorizationInfo 对象,并设置角色和权限信息 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } } ``` 然后,在 Shiro 的配置文件中,需要将 JWTRealm 注册为一个 Realm,并关闭默认的 Session 和 Cookie 管理: ```xml <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="jwtRealm" /> </bean> <bean id="jwtRealm" class="com.example.JWTRealm" /> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"> <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager" /> <property name="arguments" ref="securityManager" /> </bean> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- ... --> <property name="securityManager" ref="securityManager" /> <!-- ... --> </bean> ``` 最后,需要在登录接口处生成 JWT Token,并返回给前端: ```java @PostMapping("/login") public Map<String, Object> login(@RequestBody Map<String, String> params) { String username = params.get("username"); String password = params.get("password"); // 验证用户名和密码 if (userService.verify(username, password)) { // 生成 JWT Token String token = JWTUtil.sign(username, password); // 将 Token 返回给前端 Map<String, Object> resultMap = new HashMap<>(); resultMap.put("token", token); return resultMap; } else { throw new AuthenticationException("用户名或密码错误"); } } ``` 以上代码只是一个简单的示例,实际应用中可能还需要进行一些优化和增强。希望能对你的 Shiro 整合 JWT 有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值