jwt无状态权限认证(pings-shiro-jwt)

最新推荐文章于 2023-03-23 00:19:48 发布
最新推荐文章于 2023-03-23 00:19:48 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 微服务 # jwt无状态权限认证 文章标签: shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouping118/article/details/90446319
版权

单用户并发访问的问题

当用户AccessToken失效,用户使用该失效的AccessToken同时发起多个请求,会产生多AccessToken和RefreshToken认证失败问题;

多AccessToken的问题:

如果多个请求分别请求成功,则每个请求都会生成一个新的AccessToken,但前面生成的AccessToken都会被后面生成的AccessToken覆盖,导致前面的AccessToken失效,客户端会很难判断下一个请求时应该使用哪个AccessToken。须在短时间内所有的用户请求,都返回同一个AccessToken;

  • 解决方案:10秒内的用户请求都返回第一个生成的AccessToken,这段逻辑必须要保证原子性;
    • 单机版
    synchronized (userName.intern()) {
    Boolean success = this.redisTemplate.opsForValue().setIfAbsent(accessTokenKey, accessToken, 10, TimeUnit.SECONDS);
    //**如果缓存新的accessToken成功,则缓存新的refreshToken
    if (success != null && success) {
        this.redisTemplate.opsForValue().set(refreshTokenKey, refreshToken, refreshTokenExpireTime, TimeUnit.MINUTES);
    } else {  //**否则,返回缓存的accessToken
        accessToken = this.redisTemplate.opsForValue().get(accessTokenKey) + "";
    }        
}
    • 分布式版
    String script = "if 1 == redis.call('setnx', KEYS[1], ARGV[1]) then " +
                "    redis.call('expire', KEYS[1], ARGV[2]) " +
                "    redis.call('set', KEYS[2], ARGV[3]) " +
                "    redis.call('expire', KEYS[2], ARGV[4]) " +
                "    return ARGV[1] " +
                "else " +
                "    return redis.call('get', KEYS[1]) " +
                "end";
DefaultRedisScript<String> sc = new DefaultRedisScript<>(script);
sc.setResultType(String.class);

accessToken = redisTemplate.execute(sc, Arrays.asList(accessTokenKey, refreshTokenKey), accessToken, 10, refreshToken, refreshTokenExpireTime * 60);

认证失败的问题:

第一个请求认证失败,重新生成了RefreshToken,并把新RefreshToken保存到了redis中,第二个请求的RefreshToken还是上一次的,RefreshToken就会不相同,导致认证失败;

  • 解决方案:10秒内的验证成功过的AccessToken,直接返回验证成功,不需要重新验证;
public boolean verify(String token) {
    String key = this.getKey(JwtUtil.getUserName(token));
    //**使用访问令牌的md5,只是为了存储到redis时短一点而已
    String tokenMd5 = DigestUtils.md5DigestAsHex(token.getBytes());

    Boolean hasKey = this.redisTemplate.hasKey(key);
    if(hasKey == null || !hasKey)
        throw new TokenExpiredException("The Token not existed or expired.");

    long refreshToken = (long)this.redisTemplate.opsForValue().get(key);
    if(refreshToken != JwtUtil.getSignTimeMillis(token)){
        //**访问令牌如果在10秒内验证过,则返回验证成功
        Boolean flag = this.redisTemplate.hasKey(tokenMd5);
        if(flag != null && flag)  return true;
            
        throw new TokenExpiredException("The Token has expired.");
    }

    try {
        return JwtUtil.verify(token, secret);
    } catch (TokenExpiredException e){
        //**访问令牌过期,但刷新令牌有效时,缓存访问令牌10秒
        logger.debug("Cache tokenMd5={}", tokenMd5);
        this.redisTemplate.opsForValue().set(tokenMd5, null, 10, TimeUnit.SECONDS);

        throw new TokenExpiredException("The access token has expired.");
    }
}

pings-shiro-jwt

简介

pings-shiro-jwt是基于jwt和shiro的无状态权限认证工具,可实现如下两种认证方式:

  • access token无状态权限认证
    • 原理
    • 优点
      • 实现简单
      • 不外部依赖运行环境
      • 如果多个系统之间用户信息和配置的secret相同,某个系统签发的token即可访问所有其它的任意系统
    • 问题
      • 如果token过期时间太短,则每次到期后,都需要用户重新登录
      • 如果token过期时间太长,由于token签发后,在有效期内无法注销,存在安全隐患
  • 结合refresh token和access token的无状态权限认证
    • 原理
    • 优点
      • 安全性好,可以像session一样管理用户
      • 如果多个系统之间用户信息和配置的secret相同,某个系统签发的token即可访问所有其它的任意系统
    • 问题
      • 依赖redis存储refresh token,实现多个系统之间的refresh token共享

pings-shiro-jwt地址

示例:dubbo微服务脚手架

使用

1.配置

1).使用access token方式
  • application.yml
# 系统管理 config
sys:
  jwt:
    secret: ==SFddfenfV2FuZzkyNjQ1NGRTQkFQSUpXVA==
     # 访问令牌过期时长(分钟),默认配置600分钟
    access-token:
      expire-time: 300
  • ShiroConfig.java
/**
 *********************************************************
 ** @desc  : Shiro配置
 ** @author  Pings
 ** @date    2019/1/23
 ** @version v1.0
 * *******************************************************
 */
@Configuration
public class ShiroConfig {

    //**访问令牌过期时间(分钟)
    @Value("${sys.jwt.access-token.expire-time}")
    private long accessTokenExpireTime;
    @Value("${sys.jwt.secret}")
    private String secret;

    @Reference(version = "${sys.service.version}")
    private UserService userService;

    @Bean
    public JwtVerifier verifier(RedisTemplate<String, Object> redisTemplate){
        return new AccessTokenJwtVerifier(secret, accessTokenExpireTime);
    }

    @Bean
    public JwtRealm jwtRealm(JwtVerifier verifier){
        return new JwtRealm(this.userService, verifier);
    }

    @Bean
    @Scope("prototype")
    public JwtFilter jwtFilter(JwtVerifier verifier){
        return new JwtFilter(verifier);
    }

    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager(JwtRealm jwtRealm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //**使用自定义JwtRealm
        manager.setRealm(jwtRealm);

        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);

        return manager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager, JwtFilter jwtFilter) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

        //**添加自定义过滤器jwt
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("jwt", jwtFilter);
        factoryBean.setFilters(filterMap);

        factoryBean.setSecurityManager(securityManager);

        //**自定义url规则
        Map<String, String> filterRuleMap = new LinkedHashMap<>();
        //不拦截请求swagger-ui页面请求
        filterRuleMap.put("/webjars/**", "anon");
        //jwt过滤器拦截请求
        filterRuleMap.put("/**", "jwt");
        factoryBean.setFilterChainDefinitionMap(filterRuleMap);

        return factoryBean;
    }

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}
2).结合refresh token和access token的方式
  • application.yml
# 系统管理 config
sys:
  jwt:
    secret: ==SFddfenfV2FuZzkyNjQ1NGRTQkFQSUpXVA==
     # 访问令牌过期时长(分钟),默认配置5分钟
    access-token:
      expire-time: 3
    # 刷新令牌过期时长(分钟),默认配置60分钟
    refresh-token:
      expire-time: 5
  • ShiroConfig.java
/**
 *********************************************************
 ** @desc  : Shiro配置
 ** @author  Pings
 ** @date    2019/1/23
 ** @version v1.0
 * *******************************************************
 */
@Configuration
public class ShiroConfig {

    //**访问令牌过期时间(分钟)
    @Value("${sys.jwt.access-token.expire-time}")
    private long accessTokenExpireTime;
    //**刷新信息过期时间(分钟)
    @Value("${sys.jwt.refresh-token.expire-time}")
    private long refreshTokenExpireTime;
    //**密钥
    @Value("${sys.jwt.secret}")
    private String secret;

    @Reference(version = "${sys.service.version}")
    private UserService userService;

    @Bean
    public JwtVerifier verifier(RedisTemplate<String, Object> redisTemplate){
        return RefreshTokenJwtVerifier.Builder.newBuilder(redisTemplate)
                .accessTokenExpireTime(accessTokenExpireTime)
                .refreshTokenExpireTime(refreshTokenExpireTime)
                .secret(secret)
                .build();
    }

    @Bean
    public JwtRealm jwtRealm(JwtVerifier verifier){
        return new JwtRealm(this.userService, verifier);
    }

    @Bean
    @Scope("prototype")
    public JwtFilter jwtFilter(JwtVerifier verifier){
        return new JwtFilter(verifier);
    }

    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager(JwtRealm jwtRealm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //**使用自定义JwtRealm
        manager.setRealm(jwtRealm);

        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);

        return manager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager, JwtFilter jwtFilter) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

        //**添加自定义过滤器jwt
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("jwt", jwtFilter);
        factoryBean.setFilters(filterMap);

        factoryBean.setSecurityManager(securityManager);

        //**自定义url规则
        Map<String, String> filterRuleMap = new LinkedHashMap<>();
        //不拦截请求swagger-ui页面请求
        filterRuleMap.put("/webjars/**", "anon");
        //jwt过滤器拦截请求
        filterRuleMap.put("/**", "jwt");
        factoryBean.setFilterChainDefinitionMap(filterRuleMap);

        return factoryBean;
    }

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

2.自定义shiro realm

/**
 *********************************************************
 ** @desc  : jwt realm
 ** @author  Pings
 ** @date    2019/5/10
 ** @version v1.0
 * *******************************************************
 */
public class JwtRealm extends AbstractJwtRealm {

    protected UserService userService;

    public JwtRealm(UserService userService, JwtVerifier verifier){
        super(verifier);
        this.userService = userService;
    }

    /**权限验证*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        String userName = verifier.getUserName(principals.toString());

        //**获取用户
        User user = this.userService.getByUserName(userName);

        //**用户角色
        Set<String> roles = user.getRoles().stream().map(Role::getCode).collect(toSet());
        authorizationInfo.addRoles(roles);

        //**用户权限
        Set<String> rights = user.getRoles().stream().map(Role::getRights).flatMap(List::stream).map(Right::getCode).collect(toSet());
        authorizationInfo.addStringPermissions(rights);

        return authorizationInfo;
    }

    /**登录验证*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        String token = (String) auth.getCredentials();
        //**获取用户名称
        String userName = verifier.getUserName(token);
        //**用户名称为空
        if (StringUtils.isBlank(userName)) {
            throw new UnknownAccountException("The account in Token is empty.");
        }

        //**获取用户
        User user = this.userService.getByUserName(userName);
        if (user == null) {
            throw new UnknownAccountException("The account does not exist.");
        }

        //**登录认证
        if (verifier.verify(token)) {
            return new SimpleAuthenticationInfo(token, token, "jwtRealm");
        }

        throw new AuthenticationException("Username or password error.");
    }
}

3.login and logout

    /**
     *********************************************************
     ** @desc : 登录
     ** @author Pings
     ** @date   2019/1/22
     ** @param  userName  用户名称
     ** @param  password  用户密码
     ** @return ApiResponse
     * *******************************************************
     */
    @ApiOperation(value="登录", notes="验证用户名和密码")
    @PostMapping(value = "/account")
    public ApiResponse account(String userName, String password, HttpServletResponse response){
        if(StringUtils.isBlank(userName) || StringUtils.isBlank(password))
            throw new UnauthorizedException("用户名/密码不能为空");

        //**md5加密
        password = DigestUtils.md5DigestAsHex(password.getBytes());

        User user = this.userService.getByUserName(userName);
        if(user != null && user.getPassword().equals(password)) {
            JwtUtil.setHttpServletResponse(response, verifier.sign(userName));

            //**用户权限
            Set<String> rights = user.getRoles().stream().map(Role::getRights).flatMap(List::stream).map(Right::getCode).collect(toSet());
            return new ApiResponse(200, "登录成功", rights);
        } else
            return new ApiResponse(500, "用户名/密码错误");
    }

    /**
     *********************************************************
     ** @desc : 退出登录
     ** @author Pings
     ** @date   2019/3/26
     ** @return ApiResponse
     * *******************************************************
     */
    @ApiOperation(value="退出登录", notes="退出登录")
    @GetMapping(value = "/logout")
    public ApiResponse logout(){
        this.verifier.invalidateSign(this.getCurrentUserName());

        //**退出登录
        SecurityUtils.getSubject().logout();

        return new ApiResponse(200, "退出登录成功");
    }

更新记录

  • 2019-05-20 搭建
Pingszi
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot实战之Filter实现使用JWT进行接口认证
sun_t89的专栏
07-16 7万+
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章中的代码
SpringBoot+Shiro+Jwt实现登录认证——最干的干货
守夜人爱吃兔子的博客
08-04 1539
1. 概述 1.1 SpringBoot 这个就没什么好说的了,能看到这个教程的,估计都是可以说精通了SpringBoot的使用 1.2 Shiro 一个安全框架,但不只是一个安全框架。它能实现多种多样的功能。并不只是局限在web层。在国内的市场份额占比高于SpringSecurity,是使用最多的安全框架 可以实现用户认证和授权。比SpringSecurity要简单的多。 1.3 Jwt 我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性
shiro + spring boot +jwt状态权限认证
如果有一天我能够拥有一个大果园,我愿放下所有追求做个农夫去种田
06-30 4711
最近的需求是要在项目中加入权限模块。在对接shrio中查找资料遇到了一些问题。所以记录下spring boot 对接 shiro 以及jwt 生成token 做权限校验。 Shiro框架中有三个核心概念:Subject ,SecurityManager和Realms。 Subject Subject表示 执行当前操作的用户,当然subject 不单单指的是用户,它可以是第三方进程、定任务,等...
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 907
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
第22天-单点登录SSO,JWT实现无状态登录,自定义网关过滤器处理登录验证
最新发布
zenggeweiss的博客
03-23 443
单点登录SSO,JWT实现无状态登录,自定义网关过滤器处理登录验证
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth的认证方式**:这是更复杂的一种认证策略,结合了Shiro权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWTShiro负责处理JWT的...
Shiro + Java-JWT状态鉴权认证机制
07-30
Shiro + Java-JWT状态鉴权认证机制在SpringBoot环境中的应用》 在现代Web应用程序中,安全性和权限管理是至关重要的组成部分。本文将深入探讨如何在SpringBoot项目中结合Apache Shiro和Java JSON Web Tokens ...
jwt-shiro-demo:jwt-shiro-demo
02-25
通过研究`jwt-shiro-demo`项目,你可以深入了解JWTShiro的集成,学习如何在Java应用中实现安全的用户认证和授权,这对于开发RESTful API和微服务架构特别有用。同,这个项目也提供了一个实际的起点,方便你根据...
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证进行初步的分离。 首先,我们来了解JWTJWT是一种轻量级的身份验证标准,它允许用户信息以安全、紧凑的方式在网络中传递。一个JWT...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、ShiroJWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
Spring + Shiro + JWT 开发简单的认证与授权(单角色)
“罐装面包”的博客
08-02 467
说明: 单角色的意思就是,一个用户只有一个角色。 1. 创建数据表 建立一个数据库,复制到 mysql 命令行执行就行了 CREATE TABLE `sys_user` ( `id` int NOT NULL, `username` varchar(255) NULL, `password` varchar(255) NULL, `role` varchar(255) NULL, PRIMARY KEY (`id`) ); 2. 引入依赖 JWTShiro .
@RequiresPermissions和@RequiresRoles不生效
xiyafei122的博客
08-03 396
shiro
shiro之前后端分离(基于jwt的token安全认证
weixin_45390688的博客
12-25 6007
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效间。 @Component public class JwtUtil {
2-11 附:文档的基本操作 - 查询
村西头的俏寡妇
01-14 1347
JUnit4学习笔记(四):利用Rule扩展JUnit
haibin369
07-05 555
一、Rule简介 Rule是JUnit4中的新特性,它让我们可以扩展JUnit的功能,灵活地改变测试方法的行为。JUnit中用@Rule和@ClassRule两个注解来实现Rule扩展,这两个注解需要放在实现了TestRule借口的成员变量(@Rule)或者静态变量(@ClassRule)上。@Rule和@ClassRule的不同点是,@Rule是方法级别的,每个测试方法执行都会调用被注解...
SpringBoot集成篇(一)无状态shiro
热门推荐
再见尼罗河的博客
05-14 1万+
springboot是现如今很流行的微服务框架 鉴权方面内置了spring自家的spring security ,比较方便。这里阐述用springboot集成另一大身份验证和授权框架 shiro。 网上也有很多boot集成shiro的实例 但是都不太完整,且不是stateless无状态的,不适用于现在这种前后端分离格局。 这里特此记录下辛酸的集成过程,让大家少走一点弯路。 shiro的集成方式为无状态(禁用session),通过每次请求带上token进行鉴权。 为了演示 token禁用简单的uuid3
简易使用shrio 实现 登录验证
①杯空氣的博客
03-20 594
1、shiro 配置 import java.util.HashMap; import java.util.Map; import javax.servlet.Filter; import org.apache.shiro.mgt.DefaultSessionStorageEvaluator; import org.apache.shiro.mgt.DefaultSubjectDAO; imp...
手把手教你前后分离架构(六) 系统认证鉴权实现
dehuisun的专栏
05-26 1608
手把手教你前后分离架构(六) 系统认证鉴权实现 使用 SpringBoot+shiro+jwt的方式实现
SpringBoot中使用ShiroJWT认证和鉴权(二)
菜鸟联盟
08-26 1906
项目搭建 需求相对简单,1)支持用户首次通过用户名和密码登录;2)登录后通过http header返回token;3)每次请求,客户端需通过header将token带回,用于权限校验;4)服务端负责token的定期刷新,刷新后新的token仍然放到header中返给客户端。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <p...
"SpringBoot认证鉴权及RedisMybatis-Plus配置
例如,可以使用JSON Web Token(JWT)来实现无状态认证和授权机制,从而提高系统的可伸缩性和性能;可以使用Spring Session来管理用户的会话状态,实现会话管理和跨平台的退出登录功能。 总之,SpringBoot认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值