Shiro框架和JWT

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量2.5k 收藏 16
点赞数 2
文章标签: java 开发语言 spring boot servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46549023/article/details/125692960
版权

目录

shiro简介

1.认证

2.授权

3.shiro靠什么做认证与授权

JWT简介

创建JWTUtil工具类

令牌封装成对象

AuthenticationToken类

AuthorizingRealm类

刷新令牌的新机制

 创建存储令牌的媒介类

创建过滤器

创建ShiroConfig

shiro简介

shiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。

1.认证

核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证

2.授权

比再认证更加精细度的划分用户的行为。比如学生和班主任,可以可以改成绩,一个不可以改成绩。

3.shiro靠什么做认证与授权

主要利用HttpSession或者Redis存储用户的登录平成,以及角色或者身份信息。然后利用过滤器(Filter),对每个Http请求过滤,检查请求对应的HttpSessionRedis中的认证与授权。如果用户没有登录,或权限不够,那么Shiro就会向和护短返回错误信息。

JWT简介

主要做单点登录

未使用JWT,三个节点三个tomcat做负载均衡,A节点登录,B节点无法获取用户信息

使用JWT,对登录凭证进行加密,并保存到客户端,并叫做令牌,每次发送请求的时候,都把令牌上传到服务器,

 JWT兼容更多的客户端

传统的HttpSession依靠浏览器的Cookie存放SessionID,所以要求客户端浏览器。

但现在javaweb系统,客户端可以是浏览器,APP,小程序,以及物联网设备,为了让javaweb都访问到项目,引用JWT技术。

jwt的token是纯字符串,对保存没要求,只要客户端发起请求的时候带上token即可。可以使用SQLite存储Token数据

创建JWTUtil工具类

导入依赖库

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.5.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.11</version>
        </dependency>
        <dependency>
            <groupId>org.apache.httpcomponents</groupId>
            <artifactId>httpcore</artifactId>
            <version>4.4.13</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

定义密钥的和过期时间

在application.yml中配置

emos:
  jwt:
    #密钥
    secret: abc123456
    #令牌过期时间(天)
    expire:  5
    #令牌缓存时间(天数)
    cache-expire: 10

生成令牌并验证令牌的有效性

令牌的生成需要密钥、过期时间、用户ID

配置类

@Component
@Slf4j
public class JwtUtil {
    @Value("${emos.jwt.secret}")
    private String secret;
    @Value("${emos.jwt.expire}")
    private int expire;

    public String createToken(int userId){
//        当前日期偏移5天
        Date date = DateUtil.offset(new Date(), DateField.DAY_OF_YEAR, 5);
//        加密算法,调用静态工厂方法进行调用
        Algorithm algorithm=Algorithm.HMAC256(secret);
//        创建内部类
        JWTCreator.Builder builder= JWT.create();
        String token = builder.withClaim("userId", userId).withExpiresAt(date).sign(algorithm);
        return token;
    }
//    获取user的用户ID
    public int getUserId(String token){
//        创建解码的对象
        DecodedJWT jwt = JWT.decode(token);
        int userId = jwt.getClaim("userId").asInt();
        return userId;
    }
//    验证令牌字符串的有效性
    public void verifierToken(String token){
        Algorithm algorithm=Algorithm.HMAC256(secret);
        JWTVerifier verifier = JWT.require(algorithm).build();
//        验证方法回抛出runtime的异常
        verifier.verify(token);
    }

}

令牌封装成对象

主要4个类

AuthenticationToken类

public class OAuth2Token implements AuthenticationToken {

    private String token;

    public OAuth2Token(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

AuthorizingRealm类

@Component
public class OAuth2Realm extends AuthorizingRealm {
    @Autowired
    private JwtUtil jwtUtil;

//    传入封装好的令牌对象
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuth2Token;
    }
//授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//       创建认证对象
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //TODO 查询用户的全下班列表
        //TODO 把权限列表添加到info对象中
        return info;
    }
//认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//创建授权对象
//        todo 从令牌中获取userID,然后检测该账户是否被冻结
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo();
        //todo 往info对象中添加用户信息,token字符串
        return info;
    }
}

刷新令牌的新机制

为什么刷新令牌?

令牌生成就保存到客户端,即使用户一直使用系统们也不会重新生成令牌,令牌过期,用户必须重新登陆,令牌应该自动续期

解决办法:

1).双令牌机制

设置长短日期的令牌,短时期令牌生效就用长令牌

2).缓存令牌机制

令牌缓存到redis上面,缓存的令牌过期时间是客户端令牌的一倍,

如果客户端令牌过期,缓存令牌没有过期,则生成新的令牌,

如果客户端令牌过期,缓存令牌也过期,则需要重新登陆

客户端如何更新令牌?

 如何在响应当中添加令牌?

 创建存储令牌的媒介类

//媒介类
@Component
public class ThreadLocalToken {
    private ThreadLocal<String> local=new ThreadLocal();
    public void setToken(String token){
        local.set(token);
    }

    public String getToken(){
        return local.get();
    }
    
    public void clear(){
        local.remove();
    }
}

创建过滤器

OAuth2Filter类,判断那些那些请求应该被shiro处理,如果是options请求直接放行,提交application/json数据,请求被差分成option和post两次,其余所有请求都要被shiro处理。

判断用户Token是真过期还是假过期,真过期,返回提示信息,让用于重新登录,假的过期,就生成新的令牌,返回客户端。

存储新令牌,ThreadLocalToken和redis

OAuth2Filter类
@Component
//创建多例对象prototype表示每次获得bean都会生成一个新的对象
@Scope("prototype")
public class OAuth2Filter extends AuthenticatingFilter {
    @Autowired
    private ThreadLocalToken threadLocalToken;

    @Value("emos.jwt.cache-expire")
    private int cacheExpire;

    @Autowired
    private JwtUtil jwtUtil;
    @Autowired
    private RedisTemplate redisTemplate;

    /*
    拦截请求后,用于把令牌字符串封装成令牌对象
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req = (HttpServletRequest) request;
        String token=getRequestToken(req);
        if(StrUtil.isBlank(token)){
            return null;
        }
        return new OAuth2Token(token);
    }
    /*
    拦截请求,判断请求是否需要被shiro处理
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest req = (HttpServletRequest) request;
        if(req.getMethod().equals(RequestMethod.OPTIONS.name())){
            return true;
        }
        return false;
    }
/*
被拦截之后执行
 */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req=(HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
//        响应字符集
        resp.setContentType("text/html");
        resp.setCharacterEncoding("UTF-8");
//        允许跨域请求
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
//        请求threadlocal
        threadLocalToken.clear();
        String token=getRequestToken(req);
        if (StrUtil.isBlank(token)){
            resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
            resp.getWriter().print("无效令牌");
            return false;
        }
        try {
            jwtUtil.verifierToken(token);
        } catch (TokenExpiredException e) {
            if(redisTemplate.hasKey(token)){
                redisTemplate.delete(token);
                int userId = jwtUtil.getUserId(token);
                token = jwtUtil.createToken(userId);
                redisTemplate.opsForValue().set(token,userId+"",cacheExpire ,TimeUnit.DAYS);
                threadLocalToken.setToken(token);
            }else {
                resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
                resp.getWriter().print("令牌已过期");
                return false;
            }
        }catch (JWTDecodeException e){
            resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
            resp.getWriter().print("伪造无效的令牌");
            return false;
        }
//        间接调用AuthorizingRealm类,认证和授权
        boolean bool = executeLogin(request, response);
        return bool;
    }
//登录失败返回认证消息
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletRequest req=(HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
//        响应字符集
        resp.setContentType("text/html");
        resp.setCharacterEncoding("UTF-8");
//        允许跨域请求
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
        resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
        try {
            resp.getWriter().print(e.getMessage());
        } catch (Exception ex) {
            ex.printStackTrace();
        }
        return false;
    }

    @Override
    public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        super.doFilterInternal(request, response, chain);
    }

    private String getRequestToken(HttpServletRequest request){
        String token=request.getHeader("token");
        if(StrUtil.isBlank(token)){
            token = request.getParameter("token");
        }
        return token;
    }
}

创建ShiroConfig

把Filter和Realm添加到Shiro框架

创建四个对象返回给springboot

1.SecurityManager 用于封装realm对象

2.ShiroFilterFactoryBean 1).用于封装Filter对象   2).设置Filter拦截路径

3.LifecycleBeanPostProcessor 管理shro对象生命周期

4.AuthorizationAttributeSourceAdvsor  1).Aop切面类  2).web方法执行前,权限验证

import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;


import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;


@Configuration
public class shiroConfig {
//    封装Realm对象
    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

//    用于封装Filter对象
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirofilter(SecurityManager securityManager,OAuth2Filter filter){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
//        oauth过滤
        Map<String, Filter> map = new HashMap<>();
        map.put("oauth2",filter);
        shiroFilter.setFilters(map);
//       设置Filter拦截路径
//        如果是anon表示不需要拦截
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/user/register", "anon");
        filterMap.put("/user/login", "anon");
        filterMap.put("/test/**", "anon");
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }
//    管理shiro的生命周期
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();

    }
//    @Bean不写默认也是类的首字母小写
    @Bean("authorizationAttributeSourceAdvisor")
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

创建AOP切面类

拦截所有web方法返回值

判断是否刷新生成新令牌

1)检查ThreadLocal中是否保存令牌

2)把新的令牌保存到R对象中

@Aspect
@Component
public class TokenAspect {
    @Autowired
    private ThreadLocalToken threadLocalToken;

    @Pointcut("execution(public * com.qing.emos.wx.controller.*.*(..)))")
    public void aspect() {

    }

    @Around("aspect()")
    public Object around(ProceedingJoinPoint point) throws Throwable {
//        获取拦截对象返回的执行结果
        R r=(R)point.proceed();
        String token = threadLocalToken.getToken();
        if(token!=null){
            r.put("token",token);
            threadLocalToken.clear();
        }
        return r;
    }
}

景庆197
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合 shiro框架 && jwt验证
shaun的博客
08-28 943
shiro + jwt 快速搭建前言一、jwt是什么?1. jwt构成1.1 header1.2 playload1.3 signature2. jwt实现二、shiro是什么?1. shiro的三个核心组件1.1 Subject1.2 SecurityManager1.3 Realm2. shiro的引入2.1 Realm领域类2.2 过滤器2.3 配置类三、jwt的校验和授权总结 前言 一个系统在起步的时候最重要的权限系统,最简单的实现就是通过角色表+菜单表相关联,通过登陆用户的角色查到对应的菜单,
SpringBoot集成ShiroJwt和Redis
10-24
**Shiro** 是Apache提供的一款轻量级的安全框架,它提供了身份验证、授权、会话管理和加密等功能。在SpringBoot项目中集成Shiro,可以轻松地处理用户的登录、权限验证等安全问题。Shiro通过配置拦截器,可以对URL...
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
基于JWTShiro 做接口权限认证
ewii12567的博客
05-20 903
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
shiroJWT
未知的希望,是我不灭的信仰
05-22 4359
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍
shiro的使用与JWT整合
我们仍未知道那天所见花的名字,但是她的香味却留在我心间
08-12 589
需继承的接口接口描述负责缓存处理负责认证负责授权通常自定义的realm继承AuthonizingRealmshiro配置类固定步骤//1.Realm 资源 自定义userRealm对象 @Bean public Realm userRealm() {
整合Shiro Session和JWT登录
zollty的专栏
08-26 1462
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。 JWT登录的原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证成功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
Shiro + JWT权限验证
qq_53021270的博客
11-12 2119
1、什么是Shiro ShiroJava领域非常知名的认证( Authentication )与授权 ( Authorization )框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什 么 JFinal 和 Nutz 非Spring框架都可以使用Shiro,而不能使用Spring Security
ShiroJWT技术简介
web17886480312的博客
04-22 886
一、Shiro简介 ShiroJava领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证?
基于SpringBoot实现Shiro整合JWT
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
02-26 2216
在上一篇文章基于SpringBootShiro完成了对shiro的整合,这一篇文章我们不妨对项目进行进一步优化,完成基于JWT优化安全校验框架的优化。调用登录接口。若登录通过,即可直接使用当前登录角色的权限调用相关接口。但是这种方式也存在着一定的局限性,由于Shiro认证后会将结果缓存在session会话中,对于分布式结构,session不共享的局限性就暴露出来了。所以为了保证一处认证,处处服务器可用,我们需要整合JWT来完善这个现有的认证逻辑。
SpringBoot整合Shiro+JWT
05-15
2. **Apache Shiro**:Apache Shiro是一个强大的Java安全框架,提供了身份验证、授权、会话管理和加密等功能。它设计简单,易于使用,适合各种类型的应用程序。 3. **JWT**:JSON Web Tokens是一种开放标准(RFC ...
febs_shiro_jwt-master_java_;shirojwt_
10-04
jwt_" 指的是一款使用Java语言开发的后台管理系统,该系统集成了SpringBoot、Apache Shiro和JSON Web Token(JWT)技术。这个项目的核心目标是提供一个安全、灵活的身份验证和授权解决方案。 【描述】"基于...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
本文将详细介绍如何在Spring Boot项目中集成JWTShiro,以及如何处理Realm中的异常。 首先,JWT是一种轻量级的身份认证协议,它允许我们在客户端和服务器之间安全地传输信息。JWT由三部分组成:头部、载荷和签名。...
shiro_jwt.rar
04-02
例如,`ShiroConfig`用于配置Shiro的过滤器链,`JwtToken`实现了Shiro的`Token`接口,`JwtUtil`则用于生成和解析JWT。 8. 整合难点与解决方案 整合过程中可能遇到的难点包括JWT的过期策略、刷新机制、以及如何在无...
golang 接口
m0_70982551的博客
07-24 1134
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 613
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 715
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
请问shiro框架jwt可以避免上面问题
04-01
Shiro框架JWT都可以帮助解决身份验证和授权的问题,从而避免一些常见的安全问题。 Shiro框架提供了一种灵活的身份验证和授权框架,可以轻松地集成到Java应用程序中。它提供了一系列的安全组件,包括身份验证、授权、加密、会话管理等,可以保证应用程序的安全性。 JWT是一种轻量级的身份验证和授权协议,通过在服务端生成和签名一个JSON对象,并将其传输到客户端,在客户端进行验证和解码。使用JWT可以避免传统的会话管理和Cookie管理方式带来的一些安全问题,例如会话劫持和跨站脚本攻击。 虽然Shiro框架JWT都可以帮助解决安全问题,但它们也有各自的优缺点和适用场景。需要根据具体的需求和应用场景来选择合适的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值