Springboot+Shiro+Jwt实现简单的权限控制

最新推荐文章于 2024-04-12 15:43:21 发布
最新推荐文章于 2024-04-12 15:43:21 发布
阅读量1.6k 收藏 3
点赞数 2
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ww2651071028/article/details/130335385
版权

前置背景

  • 为什么写下这篇文章?

因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。

  1. 涉及的知识点主要有下列知识点:

    1. JWT
    2. shiro

  2. 书写顺序

    1. 首先使用springboot 结合 jwt完成前后端分离的token认证。
    2. 其次结合shiro完成shiro+jwt的前后端分离的权限认证管理。

权限管理的表结构设计

  1. 一个user可以拥有多个role,一个role也可以被多个user拥有, 一个 角色拥有多个权限即功能,一个权限可以被多个role拥有。

用户、角色、权限类

 表结构图

Part1: spring boot + jwt

这一部分就可以完成前后端分离项目的登录功能。在不需要添加权限管理的情况下,就可以满足需求。

Spring boot集成JWT

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.8.2</version>
</dependency>
复制代码

思路整理

  1. 为什么需要使用到jwt?
  2. jwt是什么
  3. Java如何使用jwt

在前后端分离的项目中,由服务器使用的会话管理session无法满足需求。需要一种技术做会话管理。因此选择JWT。 Json web token (JWT) : 是目前流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。 JWT的数据结构分为三部分 header payload signature。 这三部分通过.连接,如下

Token示例:

    eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
    eyJwYXNzd29yZCI6InN1cGVyIiwiZXhwIjoxNjYzMTIzNDgzLCJ1c2VybmFtZSI6InN1cGVyIn0.
    5xVg6IuOLe_uVwwOaeyRDbTHRjfmIbNsnb-DP9-Ic20
复制代码

如何使用:当用户登录系统后,服务端给前端发送一个基于用户信息创建的token,然后在此后的每一次前端请求都会携带token。服务端通过拦截器拦截请求,同时验证携带的token是否正确。如果正确则放行请求,不正确则拒绝通过。 思路流程图:

token的创建和验证

JWTUtil.java负责创建和验证jwt格式的token

    public class JWTUtil {
        private static final long EXPIRE_TIME = 3 * 60 * 1000;//默认3分钟
        //私钥
        private static final String TOKEN_SECRET = "privateKey";
    ​
        public static String createToken(UserEntity userModel) {
            try {
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            log.info(String.valueOf(date));
            // 私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HSA256");
            // 返回token字符串
            return JWT.create()
                .withHeader(header)
                .withClaim("username", userModel.getUsername())
                .withExpiresAt(date)
                .sign(algorithm);
            } catch (Exception e) {
                e.printStackTrace();
                return null;
            }
        }
        
        /**
        * 检验token是否正确
        *
        * @param **token**
        * @return
        */
        public static boolean verifyToken(String token, String username) {
            log.info("验证token..");
            try {
                Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
                JWTVerifier verifier = JWT.require(algorithm)
              
最低0.47元/天 解锁文章
Java技术攻略
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWTShiro框架认证与授权详解
weixin_60414376的博客
01-29 3807
一)JWTShiro基础: 1、单点登录: 了解JWT之前,我们先了解一下JWT的最多应用场景----单点登录。 图中有四个系统,sso只有登录的功能,1系统处理订单,2系统处理购物车,3系统处理用于数据的。如果没有单点登录,管理者就需要登录4次系统输入4次用户名和密码,这就导致我们要输入很多次用户名和密码。于是出现了单点登录,只需要在sso登录一次,然后所有与其绑定的信任系统都不用再次登录就可以使用。 再举一个简单的例子,淘宝和天猫是两个相互信任的系统,你会发现当你登录了天猫或者淘宝之后另一
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 5989
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
权限控制Shiro+JWT
最新发布
qq_37466787的博客
04-12 339
2、DefaultWebSecurityManager:可AI查下概念,我的解读是为了我可以使用ShiroFilterFactoryBean定义我的url而存在。解:标识这个Realm是专门用来验证JwtToken,不负责验证其他的token(UsernamePasswordToken)1、Realm:定义自己逻辑,比如这个地方你可去关联你的userService去查询个人角色信息,给框架返回一个角色列表。解:获取上个方法传递的参数,进行权限分类(不想每次都去查db,于是引入了mysql)
Shiro框架和JWT
市民景先生
07-11 2498
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshiro是java非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
Springboot+jwt+shiro实现前后端分离权限验证
码码码码码码农的博客
09-08 1732
Springboot+jwt+shiro实现前后端分离权限验证
shirojwt前后端分离项目集成
Codewarning
10-10 742
springboot项目中使用shirojwt开发前后端分离项目,编写的demo模板
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 919
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。JwtToken (JWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
总的来说,这个系统通过SpringBoot构建基础框架,利用Shiro进行权限控制,结合JWT实现无状态认证,借助Jedis提升性能,运用MybatisPlus简化数据库操作,实现了基于URL的权限管理。这种设计不仅提高了系统的安全性,...
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户鉴权,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
JWT的场景下,Shiro可以用于处理登录验证,创建并验证JWT,以及控制资源访问权限JWT是一种轻量级的身份验证标准,用于在多个服务之间安全地传输用户信息。它包含三部分:头部、载荷和签名。在本方案中,JWT被...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证和权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户和权限数据,而Redis利用Jedis实现JWT的安全存储和快速访问。这样的设计既...
小记springboot配置shiro+jwt
白也白
05-20 209
springboot 配置shiro jwt大致流程
springBootjwt实现权限认证
qq_45515347的博客
08-27 2898
jwt原理以及使用springboot实现一个简单实例
SpringBootSpringBoot+JWT实现登录权限控制(代码)
sfh2018的博客
07-02 4182
项目使用springboot+jwt实现权限控制,在此记录一下防止以后忘记。 一、准备LoginUser 和JwtUser LoginUser.java public class LoginUser { private Integer userId; private String username; private String password; private ...
JWT生成、有效性以及权限控制
qq_46068142的博客
09-28 168
jwt的生成、有效性以及权限控制
权限与安全框架:Shiro+JWT整合(一)
菜鸡也有大佬梦
11-14 2528
依赖 <!--shrio--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1....
springboot+shiro+jwt获取当前登录用户
09-01
在Spring Boot中使用ShiroJWT获取当前登录...总结:通过配置ShiroJWT,重写ShiroRealm,创建JWT工具类,并在登录和获取用户接口中进行相关操作,可以实现在Spring Boot中使用ShiroJWT获取当前登录用户的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值