shiro和JWT

已于 2022-07-26 21:57:09 修改
阅读量4.3k 收藏 22
点赞数 7
分类专栏: java日常分享 文章标签: jwt
于 2020-05-22 20:15:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46097842/article/details/106289733
版权

今天在某社交软件上,有个人问我:shiro和JWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下:

shiro和JWT是典型的有状态登陆无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。

有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。

无状态的好处很明显,不存在服务端,可以减少服务端的压力。

这里不过多介绍shiro,主要介绍一下JWT。

JWT是一个轻量级的鉴权框架,可以实现无状态登陆,一般结合RSA使用,RSA是一种非对称加密技术,分为公钥和私钥,公钥和私钥可以互相解密对方加密的东西,公钥可以发出去很多,但是私钥只能有一份,此处也不过多讲解RSA,之后会单独对RSA进行说明。

拿用户登录模块来说,用户登陆时,服务端首先要去数据库来判断这个用户是否正确,如果正确,那就用RSA生成的私钥进行加密,生成一个token,将token返回给用户,用户下次访问服务的时候,带着这个token,如果服务端用公钥能够解析成功,那就说明当前申请是OK的,没啥问题,解析不了,说明不是这个公钥对应的私钥加密形成的token,那就不让它登陆。

token分为三部分:头,载荷,签名

token的头是固定的,不作说明;载荷就是我们存进去的部分,这部分是基于base64加密的,所以千万不要把重要信息存进去,有点技术功底的拦截到token,都能解密出来,载荷一般就放一些标识类的,不是特别重要的东西;签名就是私钥生成的一个判断身份的东西,如果不做签名,都来请求,系统咋知道谁是谁。

当然,还涉及到了token有效期啊,失效啊这些的,JWT生成的token默认有效期是三十分钟,并且,JWT无法使已经生成的token失效,所以这时候需要我们自己想办法去做这个,此处涉及到业务逻辑,也不过多讲解,这次不是分享业务的。

予你成诗
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpingBoot整合ShiroJWT
weixin_46648650的博客
03-14 5914
SpingBoot整合ShiroJWT 项目地址:https://github.com/seam95/SpringBoot-Shiro-Jwt.git Shiro学习知识点 Authentication:身份认 证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Management:会话管
SpringBoot集成ShiroJwt和Redis
10-24
1. 添加依赖:在SpringBoot的pom.xml文件中引入ShiroJwt、Redis和MyBatisPlus的相关依赖。 2. 配置Shiro:编写Shiro的配置类,包括 Realm 的实现,用于身份验证和授权;配置过滤器链,定义哪些URL需要拦截并进行...
基于JWTShiro 做接口权限认证
最新发布
Karka_的博客
06-20 606
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
ShiroJWT技术简介
web17886480312的博客
04-22 886
一、Shiro简介 Shiro是Java领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证?
ShiroJWT简介
小青龙,创造,变强
02-27 754
ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt
使用Spring Boot整合ShiroJWT实现基于注解的权限控制
果酱 の 博客
07-28 1719
在Web应用程序中,权限控制是保护资源和确保用户访问安全的重要组成部分。Shiro是一个强大的安全框架,而JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。本文将介绍如何使用Spring Boot整合ShiroJWT,并通过注解实现基于角色和权限的权限控制。
springboot结合shirojwt
龙泉诗
03-17 338
项目结构 增加全局异常配置 /** * @Description GlobaException 全局的异常配置 * @Author YiLong Wu * @Date 2020-03-11 22:28 * @Version 1.0.0 */ @RestControllerAdvice public class GlobalException { /** * 处理用户...
毕设(四)ShiroJWT技术
qq_44648936的博客
04-18 466
一、Shiro简介 Shiro是一个主要用于认证和授权功能的框架,用来替代JavaEE中的JAAS 相较于Spring Security,Shiro可以用在任意JavaWeb项目中,适用性更大一些,而Spring Security只能用在Spring项目中 原理 Shiro利用HTTPSession或者Redis存储用户的登录凭证,以及角色或者身份信息。然后利用过滤器对每个Http请求过滤,检查相应的HttpSession或者Redis中的认证与授权信息。根据情况反馈不同的信息。 二、JWT技术 JWT(J
基于SpringBoot实现Shiro整合JWT
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
02-26 2216
在上一篇文章基于SpringBoot整Shiro完成了对shiro的整合,这一篇文章我们不妨对项目进行进一步优化,完成基于JWT优化安全校验框架的优化。调用登录接口。若登录通过,即可直接使用当前登录角色的权限调用相关接口。但是这种方式也存在着一定的局限性,由于Shiro认证后会将结果缓存在session会话中,对于分布式结构,session不共享的局限性就暴露出来了。所以为了保证一处认证,处处服务器可用,我们需要整合JWT来完善这个现有的认证逻辑。
Shirojwt
MRzhenglea的博客
10-25 252
Shiro Subject currentUser=SecurityUtils.getSubject() Session session=currentUser.getSession() currentUser.isAuthenticated() currentUser.getPrincipal() currentUser.hasRole("schwartz") currentUser.ispermitted("lightsaber:wield") currentUser.logout();注销 三大组件
springboot下shirojwt的整合使用
weixin_42404323的博客
06-18 2282
首先shiro做安全框架,将JWT整合到shiro的认证和授权中进行使用,最终的目的就是用户在进行登录的时候,验证成功则返回一个token,后面该用户可以通过这个token是访问自己有权限的接口,启动缓存功能,只有第一次认证需要查询DB,后续访问都是访问缓存(分两种,单机版应用使用EhCache,分布式使用redis) 整合思路: 1.构建一个springBoot项目,引入核心依赖并展示核心代码目录 <!--引入ehcache依赖(单机版本缓存用) --> <depen
SpringBoot整合Shiro+JWT
05-15
Shiro的依赖将帮助处理认证和授权,而JWT库(如`jjwt`)则用于生成和验证JWT。 2. **配置Shiro**:创建一个`ShiroConfig`类,配置Realm(领域),用于连接应用程序的用户数据源,通常是从数据库中获取。 Realm应...
SpringBoot-Shiro-JWT:spring boot 结合shirojwt技术的实践
04-29
在IT行业中,Spring Boot、ShiroJWT是三个非常重要的技术组件,它们分别在不同的领域发挥作用,但在实际项目中,常常被结合起来以实现更高效、安全的权限管理。本篇文章将详细探讨如何将Spring Boot与Shiro整合,...
febs_shiro_jwt-master_java_;shirojwt_
10-04
jwt_" 指的是一款使用Java语言开发的后台管理系统,该系统集成了SpringBoot、Apache Shiro和JSON Web Token(JWT)技术。这个项目的核心目标是提供一个安全、灵活的身份验证和授权解决方案。 【描述】"基于...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
java反编译工具jd-gui-osx for mac M1芯片无法使用的两个问题场景
热门推荐
未知的希望,是我不灭的信仰
03-12 1万+
为什么Mac端的反编译工具JD-GUI打不开呢?不能用呢?本菜鸡亲身踩的两个坑,分享给你
Elasticsearch的滚动查询---Scroll,解决ES每次最多查一万笔数据的问题
未知的希望,是我不灭的信仰
08-11 9915
接上篇,我们构造各种条件,可以进行各种查询,找到满足我们需求的数据,但是如果数据量大,不知道大家发现一个问题没,那就是你getHits,只能get到一万,一万之后的没办法,那是因为普通的搜索只能支持到这里...... 不懂?那这么讲吧,咱们之前用的搜索,相当于MySQL的limit,这种分页,数据量少的话怎么玩都行,但是如果量大呢,比如我现在十个亿数据,你在ES给我分个页试试,你分页的前提是都查出来,排序,全都怼在内存了,大哥,你内存是多大啊,现在明白为啥之前那种搜索只能取出一万数据了吧 当然了,ES既
springboot配置多kafka
未知的希望,是我不灭的信仰
08-14 7754
kafka,说起这个玩意,大家应该都不陌生,不知道啥是kafka的直接去搜索 就像MySQL的使用一样,我们在用kafka的时候,也会碰到需要使用多个kafka的情况,比如我从kafkaA的一个topic里消费出数据,进行一次处理,然后我要写入到kafkaB的topic里,,从网上找了很多配置多kafka的教程,但是都不大好使,后来还是找到了,加上我自己改了点点东西,贴出来和大家分享一下~ 首先是pom文件,kafka的依赖 <dependency>
springcloud 整合shirojwt
03-16
Spring Cloud可以与ShiroJWT进行整合,实现安全认证和授权功能。 Shiro是一个强大的Java安全框架,可以提供身份验证、授权、加密和会话管理等功能。Spring Cloud可以通过集成Shiro来实现安全认证和授权功能。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值