shiro+jwt登陆验证

最新推荐文章于 2024-05-21 10:27:57 发布
最新推荐文章于 2024-05-21 10:27:57 发布
阅读量3.9k 收藏 5
点赞数 5
文章标签: java intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48895167/article/details/124405015
版权

学习目标:

例如:

  • 一小时实现shiro+jwt实现登录认证

学习内容:

例如:

  1. 了解shiro框架
  2. 使用jwt生成身份令牌

项目目录:
在这里插入图片描述

直接上代码:

这个过滤器是我们的重点,这里我们继承的是Shiro内置的BasicHttpAuthenticationFilter ,一个可以内置了可以自动登录方法的的过滤器,有些同学继承AuthenticatingFilter也是可以的,根据个人情况。

@Component
@Slf4j
public class JWTFilter extends BasicHttpAuthenticationFilter {


    /**
     * 认证之前执行该方法
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = SecurityUtils.getSubject();
        return  null != subject && subject.isAuthenticated();
    }

    /**
     * 认证未通过执行该方法
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response){
        //完成token登入
        //1.检查请求头中是否含有token
        HttpServletRequest httpServletRequest= (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Authorization");
        //2. 如果客户端没有携带token,拦下请求
        if(null==token||"".equals(token)){
            responseTokenError(response, RCode.INVALID_TOKEN);
            return false;
        }
        //3. 如果有,对进行进行token验证
        JWTToken jwtToken = new JWTToken(token);
        try {
            SecurityUtils.getSubject().login(jwtToken);
        } catch (AuthenticationException e) {
            log.error(e.getMessage());
            responseTokenError(response,RCode.AUTH_ERROR);
            return false;
        }

        return true;
    }

    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }
    /**
     * 无需转发,直接返回Response信息 Token认证错误
     */
    private void responseTokenError(ServletResponse response,RCode rCode) {
        HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
        httpServletResponse.setStatus(HttpStatus.OK.value());
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json; charset=utf-8");
        try (PrintWriter out = httpServletResponse.getWriter()) {
            String data = new Gson().toJson(R.error(rCode));
            out.append(data);
        } catch (IOException e) {
            e.printStackTrace();
            log.error(e.getMessage());
        }
    }
}

整合shiro的配置,shiro可以帮我们做很多事情,比如创建realm、配置shiro过滤器工厂等。

@Configuration
public class ShiroConfig {

    @Bean("securityManager")
    public DefaultWebSecurityManager getManager(UserRealm realm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        // 使用自己的realm
        manager.setRealm(realm);

        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);

        return manager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean factory(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

        // 添加自己的过滤器并且取名为jwt
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt", new JWTFilter());
        factoryBean.setFilters(filterMap);

        factoryBean.setSecurityManager(securityManager);
        /*
         * 自定义url规则
         * http://shiro.apache.org/web.html#urls-
         */
        Map<String, String> filterRuleMap = new HashMap<>();
        // 所有请求通过我们自己的JWT Filter
        filterRuleMap.put("/**", "jwt");
        // 访问401和404页面不通过我们的Filter
        filterRuleMap.put("/admin/sys/user/login", "anon");
        filterRuleMap.put("/user/imgCode", "anon");
        //开放API文档接口
        filterRuleMap.put("/swagger-ui.html", "anon");
        filterRuleMap.put("/webjars/**","anon");
        filterRuleMap.put("/swagger-resources/**","anon");
        filterRuleMap.put("/v2/**","anon");
        //sql监控
        filterRuleMap.put("/druid/**","anon");
        factoryBean.setFilterChainDefinitionMap(filterRuleMap);
        return factoryBean;
    }
    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        // https://zhuanlan.zhihu.com/p/29161098
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

自定义realm,因为我没有连接数据库这里的用户名和密码都是写死的,根据业务需要可以连接数据库获取

@Service
public class UserRealm extends AuthorizingRealm {
    /**
     * 大坑!,必须重写此方法,不然Shiro会报错
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }
    /**
     * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    /**
     * 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        String token = (String) auth.getCredentials();
        if(JWTUtils.isExpire(token)){
            throw new AuthenticationException("token过期,请重新登入!");
        }
        // 解密获得username,用于和数据库进行对比
        String username = JWTUtils.getUsername(token);

        if (username == null) {
            throw new AuthenticationException("token错误,请重新登入!");
        }

        String name="admin";
        String pwd="3bcbb857c763d1429a24959cb8de2593";
        if (! JWTUtils.verify(token, name, pwd)) {

            throw new AuthenticationException("密码错误!");
        }

        return new SimpleAuthenticationInfo("activeUser", token, getName());
    }
}

public class JWTToken implements AuthenticationToken {

    // 密钥
    private String token;

    public JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

jwt生成token

public class JWTUtils {
    /**
     * 过期时间6小时
     */
    private static final long EXPIRE_TIME = 6 * 60 * 60 * 1000;

    /**
     * 校验token是否正确
     *
     * @param token  密钥
     * @param secret 用户的密码
     * @return 是否正确
     */
    public static boolean verify(String token, String username, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /**
     * 获得token中的信息无需secret解密也能获得
     *
     * @return token中包含的用户名
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 生成签名,2min后过期
     *
     * @param username 用户名
     * @param secret   用户的密码
     * @return 加密的token
     */
    public static String sign(String username, String secret) {
        try {
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(secret);
            // 附带username信息
            return JWT.create()
                    .withClaim("username", username)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            return null;
        }
    }

    /**
     * 判断过期
     *
     * @param token
     * @return
     */
    public static boolean isExpire(String token) {
        DecodedJWT jwt = JWT.decode(token);
        return System.currentTimeMillis() > jwt.getExpiresAt().getTime();
    }
}

使用md5进行加密

    /**
     * 密码加密
     * @return
     */
    public static String md5Encryption(String source,String salt){
        String algorithmName = "MD5";//加密算法
        int hashIterations = 1024;//加密次数
        SimpleHash simpleHash = new SimpleHash(algorithmName,source,salt,hashIterations);
        return simpleHash+"";
    }

重载类:用于结果返回

@Data
@AllArgsConstructor
@NoArgsConstructor
public class R {
    private Integer code ;
    private String msg;
    private Object data;



    public static R ok(Object data){
        return new R(RCode.SUCCESS.getCode(),
                RCode.SUCCESS.getMsg(),data);
    }
    public static R ok(){
        return R.ok(null);
    }
    public static R error(RCode rCode){
        return new  R(rCode.getCode(),rCode.getMsg(),null);
    }
    public static R error(String message){
        return new  R(RCode.SYS_ERROR.getCode(),message,null);
    }
    public static R error(){
        return R.error(RCode.ERROR);
    }
}

枚举类

@AllArgsConstructor
@Getter
public enum RCode {
    SUCCESS(0,"操作成功"),
    ERROR(1,"操作失败"),
    SYS_ERROR(500,"系统错误,请与管理员联系"),
    SYS_VALID_ERROR(501,"参数校验错误"),
    USER_EXIST(1001,"用户已存在"),
    USER_NOT_EXIST(1002,"用户不存在!"),
    VALID_ERROR(40001,"验证错误!"),
    INVALID_TOKEN(40410,"Token无效,您无权访问该接口"),
    AUTH_ERROR(40411,"用户名或密码不存在!"),
    NO_AUTH_ERROR(40412,"无权访问!"),
    QUERY_EXIST(1002,"此数据以重复")
    ;
    private Integer code;
    private String msg;

}

到这里就可以开始写controller了,写了一个登陆的接口和两个测试的接口

@RestController
@CrossOrigin
@RequestMapping("/admin/sys/user")
public class TestController {

    @GetMapping("/login")
    public R login(String username,String password){
        String MD5Password = MD5Utils.md5Encryption(username, password);
        System.out.println(MD5Password);
        String token= JWTUtils.sign(username, MD5Password);
        System.out.println(token);
        JWTToken jwtToken = new JWTToken(token);
        try {
            SecurityUtils.getSubject().login(jwtToken);
        } catch (AuthenticationException e) {
            return R.error("token 错误!");
        }
        Map<String,Object> maps = new HashMap<>();
        maps.put("token",token);
        return R.ok(maps);
    }

    @GetMapping("all")
    public String all(){
        return "all";
    }
	@GetMapping("list")
    public R list(){
        return R.ok("list");
    }
}

测试结果:

如果我不携带token是不能访问任何接口的,除登陆接口外

在这里插入图片描述

下面访问登陆接口,是可以访问的,并且返回的token令牌,我们可以拿着这个token去访问其他接口
在这里插入图片描述

带着token就可以正常访问了,有效期是6个小时
在这里插入图片描述

总结:
本人学习这个shiro+jwt也没几天很多原理也还没弄明白,讲的不明白只实现了效果,如过有什么地方说的不对还希望大佬指点一下。

我是菜鸟呐
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 ...通过使用 Shiro 的身份验证和授权机制,以及 JWT 的身份验证机制,可以实现安全的前后端分离。同时,通过使用 Spring Boot 框架,可以快速构建高性能的 Web 应用程序。
Shiro
weixin_45517802的博客
02-19 155
什么是Shiro Apache Shirojava的一个安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,不仅可以用在javaSE环境,也可以用在javaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存。 下载地址:http://shiro.apache.org/ Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,权限验证验证某个已认证的用户是否拥有某个权限,判断用户是否能进行操作,如:验
ShiroJWT技术简介
無業䢟民的博客
01-18 2393
一、Shiro简介 ShiroJava领域非常知名的认证(Authentication)与授权(Authorization)框架,用以替代JavaEE中的JAAS功能。相较于其他认证与授权框架,Shiro设计的非常简单,所以广受好评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用Spring Security框架。 什么是认证?
shiro+jwt整合的单点登录】
最新发布
m0_72583612的博客
05-21 285
这些东西都是死的,照着抄就完事了,咱们不啰嗦,直接上代码提示:以下是本篇文章正文内容,下面案例可供参考//用户登录//校验和数据库 中的用户名密码是否一致//校验和数据库 中的用户名密码是否一致单点登录可以搭配着昨天的网关一起使用,昨天的网关代码也有对token的拦截,判断以及解析。
从零构建后端项目-配置Shiro+JWT
chengbo_eva的博客
06-20 2170
从零构建后端项目-配置Shiro+JWT 进阶篇
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shirojwt的作用: shirojwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8355
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 5727
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
springboot整合shiro
cqq00的博客
10-18 631
shiro认证授权
Shiro + JWT + SpringBoot应用示例代码详解
08-19
最后,我们可以使用 Shiro + JWT + SpringBoot 来实现身份验证和授权。 这篇文章主要介绍了 Shiro + JWT + SpringBoot 应用示例代码详解,通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis ...JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
shiro实现登录认证与权限授权管理
小生的博客
02-27 2322
Apache Shiro 是一个强大而灵活的开源安全框架,从官网上,我们基本上可以了解到,她提供的服务非常明确: 1.Authentication(认证) 2.Authorization(授权) 3.Session Management(会话管理) 4.Cryptography(加密) 1.maven配置 &lt;!--处理登录相关依赖包--&gt; &lt;dep...
Shiro框架和JWT
市民景先生
07-11 2468
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
Shiro实现Basic认证
weixin_45032957的博客
12-18 583
王子已经有了一套集成好Shiro的Spring Boot框架,这套框架详细代码就不做展示了,我们只来看一下测试用例。 要测试的接口代码如下: 复制代码 /** @author liumeng / @RestController @RequestMapping("/test") @CrossOrigin public class TestAppController extends BaseController { /* 数据汇总 */ @GetMapping("/list") public AjaxRes
Shiro&JWT实现用户登录和权限管理
qq_40585384的博客
04-06 3499
Shiro&JWT&权限管理开始之前我们先了解两个概念认证(authentication)授权(authorization)shirojwt的简单介绍实现认证和授权的整体思路数据库表设计代码实现登录JWT生成token(附带验证的一些工具类)过滤器自定义MyRealmMyRealm的解释Shiro注解代码测试登录登入获取token未携带token访问资源未携带token访问资源携...
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 5746
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
Shiro+JWT
qq_32699009的博客
09-13 2251
apache旗下的一个开源框架,实现用户身份认证,权限授权,加密,会话管理等功能 内容均转载自ShiroJWT MD5加密 概述 MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 也就是0123456789ABCDEF构成的混合数字码 特点 不可逆:相同数据的MD5值肯定一样,不同数据的MD5值不一样。 压缩性:任意长度的数据,算出的MD5值长度都是固定的 弱抗碰撞:已知原数据和MD5值,想找到一个具有相同MD5值是非常
springboot shiro +jwt
03-28
Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架,它简化了Spring应用程序的开发过程。Shiro是一个强大且易于使用的Java安全框架,提供了身份验证、授权、加密和会话管理等功能。JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。 结合Spring Boot、ShiroJWT可以实现一个安全可靠的Web应用程序。具体步骤如下: 1. 首先,你需要在Spring Boot项目中引入相关依赖,包括Spring Boot、ShiroJWT的依赖。 2. 接下来,你需要配置Shiro的相关组件,包括Realm、Session管理器和密码加密方式等。Realm负责验证用户身份和权限控制,Session管理器用于管理用户会话,密码加密方式用于对用户密码进行加密存储。 3. 然后,你需要编写自定义的Realm类,实现Shiro的认证和授权逻辑。在认证逻辑中,你可以使用JWT进行身份验证;在授权逻辑中,你可以根据用户角色和权限进行授权控制。 4. 在控制器层,你可以使用注解方式进行权限控制,例如@RequiresPermissions注解用于限制用户访问某个接口的权限。 5. 最后,你可以编写登录接口和生成JWT的逻辑。用户登录时,验证用户名和密码,如果验证通过,则生成JWT并返回给客户端;客户端在后续请求中携带JWT进行身份验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值