Shiro框架和JWT

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量2.5k 收藏 16
点赞数 2
文章标签: java 开发语言 spring boot servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46549023/article/details/125692960
版权

目录

shiro简介

1.认证

2.授权

3.shiro靠什么做认证与授权

JWT简介

创建JWTUtil工具类

令牌封装成对象

AuthenticationToken类

AuthorizingRealm类

刷新令牌的新机制

 创建存储令牌的媒介类

创建过滤器

创建ShiroConfig

shiro简介

shiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。

1.认证

核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证

2.授权

比再认证更加精细度的划分用户的行为。比如学生和班主任,可以可以改成绩,一个不可以改成绩。

3.shiro靠什么做认证与授权

主要利用HttpSession或者Redis存储用户的登录平成,以及角色或者身份信息。然后利用过滤器(Filter),对每个Http请求过滤,检查请求对应的HttpSessionRedis中的认证与授权。如果用户没有登录,或权限不够,那么Shiro就会向和护短返回错误信息。

JWT简介

主要做单点登录

未使用JWT,三个节点三个tomcat做负载均衡,A节点登录,B节点无法获取用户信息

使用JWT,对登录凭证进行加密,并保存到客户端,并叫做令牌,每次发送请求的时候,都把令牌上传到服务器,

 JWT兼容更多的客户端

传统的HttpSession依靠浏览器的Cookie存放SessionID,所以要求客户端浏览器。

但现在javaweb系统,客户端可以是浏览器,APP,小程序,以及物联网设备,为了让javaweb都访问到项目,引用JWT技术。

jwt的token是纯字符串,对保存没要求,只要客户端发起请求的时候带上token即可。可以使用SQLite存储Token数据

创建JWTUtil工具类

导入依赖库

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.5.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.11</version>
        </dependency>
        <dependency>
            <groupId>org.apache.httpcomponents</groupId>
            <artifactId>httpcore</artifactId>
            <version>4.4.13</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

定义密钥的和过期时间

在application.yml中配置

emos:
  jwt:
    #密钥
    secret: abc123456
    #令牌过期时间(天)
    expire:  5
    #令牌缓存时间(天数)
    cache-expire: 10

生成令牌并验证令牌的有效性

令牌的生成需要密钥、过期时间、用户ID

配置类

@Component
@Slf4j
public class JwtUtil {
    @Value("${emos.jwt.secret}")
    private String secret;
    @Value("${emos.jwt.expire}")
    private int expire;

    public String createToken(int userId){
//        当前日期偏移5天
        Date date = DateUtil.offset(new Date(), DateField.DAY_OF_YEAR, 5);
//        加密算法,调用静态工厂方法进行调用
        Algorithm algorithm=Algorithm.HMAC256(secret);
//        创建内部类
        JWTCreator.Builder builder= JWT.create();
        String token = builder.withClaim("userId", userId).withExpiresAt(date).sign(algorithm);
        return token;
    }
//    获取user的用户ID
    public int getUserId(String token){
//        创建解码的对象
        DecodedJWT jwt = JWT.decode(token);
        int userId = jwt.getClaim("userId").asInt();
        return userId;
    }
//    验证令牌字符串的有效性
    public void verifierToken(String token){
        Algorithm algorithm=Algorithm.HMAC256(secret);
        JWTVerifier verifier = JWT.require(algorithm).build();
//        验证方法回抛出runtime的异常
        verifier.verify(token);
    }

}

令牌封装成对象

主要4个类

AuthenticationToken类

public class OAuth2Token implements AuthenticationToken {

    private String token;

    public OAuth2Token(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

AuthorizingRealm类

@Component
public class OAuth2Realm extends AuthorizingRealm {
    @Autowired
    private JwtUtil jwtUtil;

//    传入封装好的令牌对象
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuth2Token;
    }
//授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//       创建认证对象
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //TODO 查询用户的全下班列表
        //TODO 把权限列表添加到info对象中
        return info;
    }
//认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//创建授权对象
//        todo 从令牌中获取userID,然后检测该账户是否被冻结
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo();
        //todo 往info对象中添加用户信息,token字符串
        return info;
    }
}

刷新令牌的新机制

为什么刷新令牌?

令牌生成就保存到客户端,即使用户一直使用系统们也不会重新生成令牌,令牌过期,用户必须重新登陆,令牌应该自动续期

解决办法:

1).双令牌机制

设置长短日期的令牌,短时期令牌生效就用长令牌

2).缓存令牌机制

令牌缓存到redis上面,缓存的令牌过期时间是客户端令牌的一倍,

如果客户端令牌过期,缓存令牌没有过期,则生成新的令牌,

如果客户端令牌过期,缓存令牌也过期,则需要重新登陆

客户端如何更新令牌?

 如何在响应当中添加令牌?

 创建存储令牌的媒介类

//媒介类
@Component
public class ThreadLocalToken {
    private ThreadLocal<String> local=new ThreadLocal();
    public void setToken(String token){
        local.set(token);
    }

    public String getToken(){
        return local.get();
    }
    
    public void clear(){
        local.remove();
    }
}

创建过滤器

OAuth2Filter类,判断那些那些请求应该被shiro处理,如果是options请求直接放行,提交application/json数据,请求被差分成option和post两次,其余所有请求都要被shiro处理。

判断用户Token是真过期还是假过期,真过期,返回提示信息,让用于重新登录,假的过期,就生成新的令牌,返回客户端。

存储新令牌,ThreadLocalToken和redis

OAuth2Filter类
@Component
//创建多例对象prototype表示每次获得bean都会生成一个新的对象
@Scope("prototype")
public class OAuth2Filter extends AuthenticatingFilter {
    @Autowired
    private ThreadLocalToken threadLocalToken;

    @Value("emos.jwt.cache-expire")
    private int cacheExpire;

    @Autowired
    private JwtUtil jwtUtil;
    @Autowired
    private RedisTemplate redisTemplate;

    /*
    拦截请求后,用于把令牌字符串封装成令牌对象
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req = (HttpServletRequest) request;
        String token=getRequestToken(req);
        if(StrUtil.isBlank(token)){
            return null;
        }
        return new OAuth2Token(token);
    }
    /*
    拦截请求,判断请求是否需要被shiro处理
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest req = (HttpServletRequest) request;
        if(req.getMethod().equals(RequestMethod.OPTIONS.name())){
            return true;
        }
        return false;
    }
/*
被拦截之后执行
 */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req=(HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
//        响应字符集
        resp.setContentType("text/html");
        resp.setCharacterEncoding("UTF-8");
//        允许跨域请求
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
//        请求threadlocal
        threadLocalToken.clear();
        String token=getRequestToken(req);
        if (StrUtil.isBlank(token)){
            resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
            resp.getWriter().print("无效令牌");
            return false;
        }
        try {
            jwtUtil.verifierToken(token);
        } catch (TokenExpiredException e) {
            if(redisTemplate.hasKey(token)){
                redisTemplate.delete(token);
                int userId = jwtUtil.getUserId(token);
                token = jwtUtil.createToken(userId);
                redisTemplate.opsForValue().set(token,userId+"",cacheExpire ,TimeUnit.DAYS);
                threadLocalToken.setToken(token);
            }else {
                resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
                resp.getWriter().print("令牌已过期");
                return false;
            }
        }catch (JWTDecodeException e){
            resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
            resp.getWriter().print("伪造无效的令牌");
            return false;
        }
//        间接调用AuthorizingRealm类,认证和授权
        boolean bool = executeLogin(request, response);
        return bool;
    }
//登录失败返回认证消息
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletRequest req=(HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
//        响应字符集
        resp.setContentType("text/html");
        resp.setCharacterEncoding("UTF-8");
//        允许跨域请求
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
        resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
        try {
            resp.getWriter().print(e.getMessage());
        } catch (Exception ex) {
            ex.printStackTrace();
        }
        return false;
    }

    @Override
    public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        super.doFilterInternal(request, response, chain);
    }

    private String getRequestToken(HttpServletRequest request){
        String token=request.getHeader("token");
        if(StrUtil.isBlank(token)){
            token = request.getParameter("token");
        }
        return token;
    }
}

创建ShiroConfig

把Filter和Realm添加到Shiro框架

创建四个对象返回给springboot

1.SecurityManager 用于封装realm对象

2.ShiroFilterFactoryBean 1).用于封装Filter对象   2).设置Filter拦截路径

3.LifecycleBeanPostProcessor 管理shro对象生命周期

4.AuthorizationAttributeSourceAdvsor  1).Aop切面类  2).web方法执行前,权限验证

import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;


import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;


@Configuration
public class shiroConfig {
//    封装Realm对象
    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

//    用于封装Filter对象
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirofilter(SecurityManager securityManager,OAuth2Filter filter){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
//        oauth过滤
        Map<String, Filter> map = new HashMap<>();
        map.put("oauth2",filter);
        shiroFilter.setFilters(map);
//       设置Filter拦截路径
//        如果是anon表示不需要拦截
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/user/register", "anon");
        filterMap.put("/user/login", "anon");
        filterMap.put("/test/**", "anon");
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }
//    管理shiro的生命周期
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();

    }
//    @Bean不写默认也是类的首字母小写
    @Bean("authorizationAttributeSourceAdvisor")
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

创建AOP切面类

拦截所有web方法返回值

判断是否刷新生成新令牌

1)检查ThreadLocal中是否保存令牌

2)把新的令牌保存到R对象中

@Aspect
@Component
public class TokenAspect {
    @Autowired
    private ThreadLocalToken threadLocalToken;

    @Pointcut("execution(public * com.qing.emos.wx.controller.*.*(..)))")
    public void aspect() {

    }

    @Around("aspect()")
    public Object around(ProceedingJoinPoint point) throws Throwable {
//        获取拦截对象返回的执行结果
        R r=(R)point.proceed();
        String token = threadLocalToken.getToken();
        if(token!=null){
            r.put("token",token);
            threadLocalToken.clear();
        }
        return r;
    }
}

景庆197
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5798
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
SpringBoot集成ShiroJwt和Redis
10-24
**Shiro** 是Apache提供的一款轻量级的安全框架,它提供了身份验证、授权、会话管理和加密等功能。在SpringBoot项目中集成Shiro,可以轻松地处理用户的登录、权限验证等安全问题。Shiro通过配置拦截器,可以对URL...
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6237
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
ShiroJWT技术简介
無業䢟民的博客
01-18 2405
一、Shiro简介 ShiroJava领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证?
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
05-20 887
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
JWTShiro
bhegi_seg的博客
03-26 1464
已经用jwt做好了登录,客户要求用shiro做权限验证,懂一些技术的甲方,真的不好惹哦 JWT 其他文章介绍的也很多了,无非就是将用户的信息(一般包括唯一表示、过期时间等等),结合秘钥,用一定的加密算法进行加密,下次请求的时候就带上这个字符串(一般是在请求头中),服务器对其进行解密,就可以知道是哪个用户了,即有状态了。如果没有该字符串、或者解密失败、或者过期,就相应处理即可。 Shiro 文章: shiro框架详解讲了一大堆,看起来好像不错,但实际结合jwt应用时,就显得一头雾水。 结合github上Spr
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
从零构建后端项目-配置Shiro+JWT
chengbo_eva的博客
06-20 2189
从零构建后端项目-配置Shiro+JWT 进阶篇
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8480
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
SpringBoot整合Shiro+JWT
05-15
2. **Apache Shiro**:Apache Shiro是一个强大的Java安全框架,提供了身份验证、授权、会话管理和加密等功能。它设计简单,易于使用,适合各种类型的应用程序。 3. **JWT**:JSON Web Tokens是一种开放标准(RFC ...
febs_shiro_jwt-master_java_;shirojwt_
10-04
jwt_" 指的是一款使用Java语言开发的后台管理系统,该系统集成了SpringBoot、Apache Shiro和JSON Web Token(JWT)技术。这个项目的核心目标是提供一个安全、灵活的身份验证和授权解决方案。 【描述】"基于...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
本文将详细介绍如何在Spring Boot项目中集成JWTShiro,以及如何处理Realm中的异常。 首先,JWT是一种轻量级的身份认证协议,它允许我们在客户端和服务器之间安全地传输信息。JWT由三部分组成:头部、载荷和签名。...
shiro_jwt.rar
04-02
例如,`ShiroConfig`用于配置Shiro的过滤器链,`JwtToken`实现了Shiro的`Token`接口,`JwtUtil`则用于生成和解析JWT。 8. 整合难点与解决方案 整合过程中可能遇到的难点包括JWT的过期策略、刷新机制、以及如何在无...
shiroJWT
m0_54853420的博客
04-07 1142
今天在某社交软件上,有个人问我:shiroJWT有什么区别,我们怎么选择?我想了想,这么跟他解释了一下: shiroJWT是典型的有状态登陆和无状态登陆的代表,所谓的有状态和无状态,就是看信息存在哪儿,存在服务器端,就叫做有状态,存在客户端,就叫无状态。 有状态就是说把信息存储在session中,因为session是存在服务端的,也就是有状态的,无状态就是把信息存在cookie中,cookie是存在客户端的,也就是无状态。 无状态的好处很明显,不存在服务端,可以减少服务端的压力。 这里不过多介绍shir
ShiroJWT简介
小青龙,创造,变强
02-27 741
ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt
JWTShiro框架认证与授权详解
weixin_60414376的博客
01-29 3812
一)JWTShiro基础: 1、单点登录: 了解JWT之前,我们先了解一下JWT的最多应用场景----单点登录。 图中有四个系统,sso只有登录的功能,1系统处理订单,2系统处理购物车,3系统处理用于数据的。如果没有单点登录,管理者就需要登录4次系统输入4次用户名和密码,这就导致我们要输入很多次用户名和密码。于是出现了单点登录,只需要在sso登录一次,然后所有与其绑定的信任系统都不用再次登录就可以使用。 再举一个简单的例子,淘宝和天猫是两个相互信任的系统,你会发现当你登录了天猫或者淘宝之后另一
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2343
1.shirojwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权。 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
Shiro
weixin_45517802的博客
02-19 169
什么是Shiro Apache Shirojava的一个安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,不仅可以用在javaSE环境,也可以用在javaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存。 下载地址:http://shiro.apache.org/ Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,权限验证, 验证某个已认证的用户是否拥有某个权限,判断用户是否能进行操作,如:验
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring BootSpring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
请问shiro框架jwt可以避免上面问题
04-01
Shiro框架JWT都可以帮助解决身份验证和授权的问题,从而避免一些常见的安全问题。 Shiro框架提供了一种灵活的身份验证和授权框架,可以轻松地集成到Java应用程序中。它提供了一系列的安全组件,包括身份验证、授权、加密、会话管理等,可以保证应用程序的安全性。 JWT是一种轻量级的身份验证和授权协议,通过在服务端生成和签名一个JSON对象,并将其传输到客户端,在客户端进行验证和解码。使用JWT可以避免传统的会话管理和Cookie管理方式带来的一些安全问题,例如会话劫持和跨站脚本攻击。 虽然Shiro框架JWT都可以帮助解决安全问题,但它们也有各自的优缺点和适用场景。需要根据具体的需求和应用场景来选择合适的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值