基于token的安全认证---两种方式(shrio架构和jwt)

最新推荐文章于 2022-08-30 12:09:15 发布
最新推荐文章于 2022-08-30 12:09:15 发布
阅读量492 收藏 4
点赞数 1
分类专栏: shrio JWT java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanyaunlv/article/details/103122998
版权

1、基于session的用户认证

在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。

cookie+session这种模式通常是保存在内存中,而且服务从单服务到多服务会面临的session共享问题,随着用户量的增多,开销就会越大。而JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。

2、JWT

JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

3、JWT生成Token后的样子

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzQwNjEzOTUsInVzZXJJZCI6IjEwMjI2NDk3IiwiaWF0IjoxNTc0MDYxMzM1fQ.VRh4e0JbCemc6xlJ3bs6lG-4s2zXrXlQDZ24sCMiIWI
该token放在response Headers或者返回的json里面均可。同样的,前端放在request 或者请求参数里面均可。

4、JWT的优点

1、因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

2、payload部分,JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展

5、JWT的构成

这一部分自行百度。第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature)。

6、JWT的实现

1.编写一个工具类,用户生成、验证token等

package cn.boe.utils;


import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JWTUtils {
   

    // 过期时间5分钟5*60*1000
    private static final long EXPIRE_TIME = 24*60*60*1000;
    public static String SECRET = "lvyyTestToken";

    /**
     * 校验token是否正确
     * @param token 密钥
     * //@param pwd 用户的密码
     * @return 是否正确
     */
    public static boolean verify(String token, String userId,String pwd) {
   
        try {
   
            Algorithm algorithm = Algorithm.HMAC256(pwd+SECRET);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("userId", userId)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
            // 验证 token
            // JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        } catch (Exception exception) {
   
            return false;
        }
    }


    /**
     * 获得token中的信息无需secret解密也能获得
     * @return token中包含的用户名
     */
    public static String getUsername(String token) {
   
        try {
   
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
   
            return null;
        }
    }

    public static String getUserId(String token) {
   
        try {
   
            DecodedJWT jwt = JWT.decode(token);//先解码在从里面取值
            return jwt.getClaim("userId").asString();
        } catch (JWTDecodeException e) {
   
            return null;
        }
    }

    // 是否已过期
    public static boolean isExpiration(String token) {
   
        try {
   
            DecodedJWT jwt = JWT.decode(token);//先解码在从里面取值
            return jwt.getExpiresAt().before(new Date());
        } catch (Exception e) {
   
            return true;
        }
    }

    /**
     * 生成签名,5min后过期
     * @param userId 用户id
     * @param pwd 用户的密码
     * @return 加密的token
     */
    public static String sign(String userId,String pwd) {
   
        try {
   
            Date nowTime = new Date();
            Date lastTime = new Date(System.currentTimeMillis()+EXPIRE_TIME);

            //过期时间一分钟
           /* Calendar calendar = Calendar.getInstance();
            calendar.add(Calendar.MINUTE,1);
            Date lastTime = calendar.getTime();*/

            Map<String,Object> map = new HashMap<String,Object>();
            map.put("alg","HS256");
            map.put("typ","JWT");
            Algorithm algorithm = Algorithm.HMAC256(pwd+SECRET);//以用户的密码作为token密钥,或者是自定义的字符串作为密钥
            // 附带userId信息
            return JWT.create()
                    .withHeader(map)//header
                    .withClaim("userId", userId)//将用户名保存到token里面,pyload
                    .withExpiresAt(lastTime)//将过期时间保存到token里面,过期时间要大于签发时间
                    .withIssuedAt(nowTime)//设置签发时间
                    .sign(algorithm);//加密

            //String token= JWT.create().withAudience(user.getId())// 将 user id 保存到 token 里面
            //            .sign(Algorithm.HMAC256(user.getPassword()));// 以 password 作为 token 的密钥
        } catch (UnsupportedEncodingException e) {
   
            return null;
        }
    }

}

2、新建两个注解类,在你需要验证token的方法上或者不需要验证token的方法上添加想要的注解

package cn.boe.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target({
   ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
   
    boolean required() default true;
}


和

package cn.boe.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target({
   ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiredToken {
   
    boolean required() default true;
}

3、在controller方法中加入该注解

	@RequestMapping(value 
最低0.47元/天 解锁文章
yuanyaunlv
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、Shiro、JWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
基于token的登陆验证机制
xiaoyi52的专栏
04-12 1505
常用的登录验证机制包括session和token。 session简介 做过Web开发的程序员应该对Session都比较熟悉,Session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息。 用户通过用户名和密码登陆成功之后,服务器端程序会在服务器端开辟一块Session内存空间并将用户的信息存入这块空间,同时服务器会在cookie中写入一个Session_id的值,这个值用于标识这个内存空间。 下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的se
Shiro 之 SimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5190
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
资源服务器验证Token的几种方式
u012833261的博客
04-15 7125
资源服务器验证Token两种方式
浅谈token认证
weixin_43887870的博客
05-19 5613
Token 使用token一般的身份验证流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据 Jwt就是一个token的具体实现方式,即:JSON Web
SpringBoot中使用Shiro和JWT认证和鉴权(二)
菜鸟联盟
08-26 1913
项目搭建 需求相对简单,1)支持用户首次通过用户名和密码登录;2)登录后通过http header返回token;3)每次请求,客户端需通过header将token带回,用于权限校验;4)服务端负责token的定期刷新,刷新后新的token仍然放到header中返给客户端。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <p...
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth的认证方式**:这是更复杂的一种认证策略,结合了Shiro的权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWT。Shiro负责处理JWT的...
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求...
Shiro实现session和jwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1946
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
SpringBoot + Shiro + Jwt 实现登录认证,代码分析
passerbyYSQ
08-25 5615
前言 花了几天了解Shiro框架(也不算太深入),根据网上资料做了一个Demo:SpringBoot 2.2.9.RELEASE+ Shiro + Jwt 实现登录认证。 1、这个Demo关注 登录授权(比较通用),基本不涉及权限控制,因为权限控制设计到具体业务。所以可以本Demo可以根据自身实际情况稍加修改,就可以作为前后端分离项目的登录模块。 2、本博客适用于对Shiro和Jwt有了解,起码对于几个关键的类的作用及方法有了解,下面我不会展开,只会对Demo的思路和代码做分析。 思路分析
jwt认证入门并整合shiro
xrMrwhile的博客
12-09 1482
目录 什么是JWT 为什么使用JWT 基于token的鉴权机制 JWT的结构 JWT令牌的有点 jwt的签发和验证(jwt的入门) SpringBoot下Shiro整合JWT实现权限校验 配置shiro 配置JWT 用postman测试工具测试程序 总结 参考文章 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于J...
Shiro步步为营--如何优雅地与JWT集成
热门推荐
pengjunlee的博客
07-12 3万+
目录 鉴权流程 项目搭建 pom.xml 配置Shiro 用户登录 LoginController.java ShiroRealm.java BaseResponse.java UserEntity.java 签发Token 再次请求 ArticleController.java JwtFilter.java JwtToken.java JwtRealm.java ...
Springboot整合shiro+jwt---实现单点登录,权限认证和控制+实现代码
qq_41219586的博客
03-03 1万+
1.shiro+jwt实现单点登录 shiro用来认证用户及权限控制,jwt用来生成一个token,暂存用户信息。而jwt是生成一个token存储在客户端,每次请求将其存储在header中,解决了跨域,且可以通过自定义的方法进行验证,解决了分布式验证的问题。 ...
Token认证模式详解
qq_47664976的博客
01-27 4411
1. 为什么要用Token? HTTP是一个无状态的协议,一次请求结束后,下次在发送服 务器就不知道这个请求是谁发来的了(同一个IP不代表同一个用户),在Web应用中,用户的认证和鉴权又是非常重要的一环。 在Web应用发展的初期,大部分采用基于Cookie-Session的会话管理方式,但是基于Session的方法又存在这很多的问题: 服务端需要存储Session,并且由于Session需要经常快速查找,通常存储在内存或内存数据库中,同时在线用户较多时需要占用大量的服务器资源。 当需要扩展时,创建Se
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1607
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
最新发布
念兮为美
08-30 3757
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
"SpringBoot认证鉴权及RedisMybatis-Plus配置
SpringBoot认证鉴权是一种为Web应用程序提供安全访问和授权的机制。在使用SpringBoot进行开发时,可以通过配置和集成多个组件来实现认证鉴权功能。下面将简要介绍SpringBoot认证鉴权的相关技术和组件。 首先,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值