JWT-Shiro 整合

JWT-与Shiro整合进行授权认证的大致思路 图示

大致思路

  1. 将登录验证从shiro中分离,自己结合JWT实现
  2. 用户登陆后请求认证服务器进行密码等身份信息确认,确认成功后 封装相关用户信息 生成token 相应给前端.
  3. 之后每次访问资源接口都在请求头中携带认证时生成的token
  4. 当发起资源请求时首先请求被请求过滤器拦截,拦截后判断请求头中是否含有token
  5. 如果含有token对token进行认证认证成功后对token进行解析,之后进行授权,拥有权限则进行放行
  6. 反之返回相关错误信息

核心点

  • token相关工具类的封装
  • 自定义重写shiro过滤器 extends AccessControlFilter
  • 自定义实现shiro Realm extends AuthorizingRealm
  • 实现自定义的shiroToken implements AuthenticationToken

具体代码

生成token的工具类

public class JWTUtils {
//密钥用于生成token的签名
private static final String SIGN = "!1qaz.("; /**
* 生成token
*/
public static String getToken(String userId,String userName, String roles, String permissions) {
Calendar instance = Calendar.getInstance();
instance.add(Calendar.DATE, 7);
JWTCreator.Builder builder = JWT.create()
.withIssuer("HuangShen")//token签发者
.withExpiresAt(instance.getTime()) //过期时间
.withClaim("userId", userId)//相关信息
.withClaim("userName", userName)
.withClaim("roles", roles)
.withClaim("permissions", permissions); //使用HMAC256算法生成token
String token = builder.sign(Algorithm.HMAC256(SIGN));
return token;
} /**
* 解码token
*
* @param token token
*/
public static DecodedJWT verify(String token){
DecodedJWT verify =JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
return verify;
}

自定义重写shiro过滤器

public class JWTFilter extends AccessControlFilter {

    /**
* 此方法首先执行当此方法返回false时继续执行onAccessDenied方法
* 返回true允许访问
* 返回 false拒绝访问
*/
@Override
protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { //获取主体对象
Subject subject = SecurityUtils.getSubject();
System.out.println("===允许访问===");
//当主体对象不为空且已经获得认证时允许访问
if (null != subject && subject.isAuthenticated()){
return true;
}
return false;
} /**
* 当isAccessAllowed返回值为false时执行
*/
@Override
protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
String token = httpServletRequest.getHeader("token");
//客户端没有携带token
if (StringUtils.isEmpty(token)) {
System.out.println("请求头没有token");
return true;
}
System.out.println("拒接访问");
JWTToken jwtToken = new JWTToken(token);
Subject subject = SecurityUtils.getSubject();
//进行认证
subject.login(jwtToken);
return true;
}

自定义实现shiro Realm

/**
* 继承AuthorizingRealm类重写doGetAuthorizationInfo(授权)
* doGetAuthenticationInfo(认证)
*/
public class CustomerRealm extends AuthorizingRealm { /**
* 认证
* @param authenticationToken 认证token
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//获取主体信息
JWTToken principal = (JWTToken) authenticationToken;
DecodedJWT verify;
//创建自定义principal并赋值
TokenPayload tokenPayload = new TokenPayload();
//解析token
try {
verify = JWTUtils.verify((String) principal.getPrincipal());
tokenPayload.setUserId(verify.getClaim("userId").asString());
tokenPayload.setRoles(verify.getClaim("roles").asString());
tokenPayload.setUserName(verify.getClaim("userName").asString());
tokenPayload.setPermissions(verify.getClaim("permissions").asString());
} catch (AlgorithmMismatchException exception) {
throw new AuthenticationException("算法不匹配异常" + exception.getMessage());
} catch (SignatureVerificationException exception) {
throw new AuthenticationException("签名验证异常" + exception.getMessage());
} catch (TokenExpiredException exception) {
throw new AuthenticationException("token过期异常" + exception.getMessage());
} catch (InvalidClaimException exception) {
throw new AuthenticationException("无效Claim异常" + exception.getMessage());
} catch (JWTDecodeException exception) {
throw new AuthenticationException("JWT解码异常" + exception.getMessage());
} catch (JWTVerificationException exception) {
throw new AuthenticationException("JWT验证异常" + exception.getMessage());
} catch (RuntimeException exception) {
throw new RuntimeException(exception.getMessage());
} System.out.println("认证完成");
//将token解析过后的信息封装成为主体传入 授权时使用
return new SimpleAuthenticationInfo(tokenPayload, true, this.getName());
} /**
* 授权
* @param principalCollection 授权主体
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("开始授权");
TokenPayload primaryPrincipal = (TokenPayload) principalCollection.getPrimaryPrincipal(); System.out.println(primaryPrincipal.getRoles());
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//添加角色信息
simpleAuthorizationInfo.addRole(primaryPrincipal.getRoles());
//添加权限信息
simpleAuthorizationInfo.addStringPermission(primaryPrincipal.getPermissions()); System.out.println("授权完成");
return simpleAuthorizationInfo;
} @Override
public Class<?> getAuthenticationTokenClass() {
return JWTToken.class;
}

实现自定义的shiroToken

/**
* 为了便于使用由JWT生成的token 自定义实现自己的token
*/
public class JWTToken implements AuthenticationToken { //存储由请求头中获取的token
private final String jwtToken; public JWTToken(String jwtToken) {
this.jwtToken = jwtToken;
} @Override
public Object getPrincipal() {
return this.jwtToken;
} @Override
public Object getCredentials() {
return true;
}
}

shiro配置

@Configuration
public class ShiroConfig { /**
* 1.创建shiroFilterFactoryBean
* 负责拦截多有请求
*
*/
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//给filter设置安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager); LinkedHashMap<String, Filter> filters = new LinkedHashMap<>();
filters.put("jwtfilter",new JWTFilter());
//将自定义过滤器加入到shiro 过滤其中
shiroFilterFactoryBean.setFilters(filters); // 完全无状态认证 noSessionCreation 不保留每次会话的session
//因此每次请求都会进行授权和认证
HashMap<String, String> map = new HashMap<>();
map.put("/shiro/login","anon");
map.put("/shiro/**","noSessionCreation,jwtfilter"); shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
shiroFilterFactoryBean.setLoginUrl("/shiro/unauthorized");
return shiroFilterFactoryBean;
} /**
* 2.创建安全管理器
*
* @param realm
* @return
*/
@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("myRealm") Realm realm) {
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setRealm(realm);
return defaultWebSecurityManager;
} /**
* 3.自定义Realm
*
* CredentialsMatcher 证书匹配器
* @return 自定义Realm
*/
@Bean("myRealm")
public Realm getRealm() {
CustomerRealm customerRealm = new CustomerRealm(); return customerRealm;
}

总结

使用JWTToken与shiro进无状态授权认证时 实际上登录时放弃的使用shiro的认证 登陆时使用自己实现的登录方法并且生成Token,无状态会话,用于shiro不存储每次会话的session 因此每次请求都会进行一次完整的shiro授权认证流程 ,可以使用Redis 等其他缓存的方式实现shiro的缓存 减小系统压力。

Shiro-JWT SpringBoot前后端分离权限认证的一种思路的更多相关文章

  1. Spring Security + JWT实现前后端分离权限认证

    现在国内前后端很多公司都在使用前后端分离的开发方式,虽然也有很多人并不赞同前后端分离,比如以下这篇博客就很有意思: https://www.aliyun.com/jiaocheng/650661.ht ...

  2. springSecurity + jwt + redis 前后端分离用户认证和授权

    记录一下使用springSecurity搭建用户认证和授权的代码... 技术栈使用springSecurity + redis + JWT + mybatisPlus 部分代码来自:https://b ...

  3. SpringBoot使用SpringSecurity搭建基于非对称加密的JWT及前后端分离的搭建

    SpringBoot使用SpringSecurity搭建基于非对称加密的JWT及前后端分离的搭建 - lhc0512的博客 - CSDN博客 https://blog.csdn.net/lhc0512 ...

  4. 从零玩转SpringSecurity+JWT整合前后端分离

    从零玩转SpringSecurity+JWT整合前后端分离 2021年4月9日 · 预计阅读时间: 50 分钟 一.什么是Jwt? Json web token (JWT), 是为了在网络应用环境间传 ...

  5. vue+springboot前后端分离实现单点登录跨域问题处理

    最近在做一个后台管理系统,前端是用时下火热的vue.js,后台是基于springboot的.因为后台系统没有登录功能,但是公司要求统一登录,登录认证统一使用.net项目组的认证系统.那就意味着做单点登 ...

  6. docker-compose 部署 Vue+SpringBoot 前后端分离项目

    一.前言 本文将通过docker-compose来部署前端Vue项目到Nginx中,和运行后端SpringBoot项目 服务器基本环境: CentOS7.3 Dokcer MySQL 二.docker ...

  7. 基于SpringBoot前后端分离的点餐系统

    基于SpringBoot前后端分离的点餐系统 开发环境:主要采用Spring boot框架和小程序开发 项目简介:点餐系统,分成卖家端和买家端.买家端使用微信小程序开发,实现扫码点餐.浏览菜单.下单. ...

  8. Springboot前后端分离开发

    .1.springboot前后端分离开发之前要配置好很多东西,这周会详细补充博客内容和遇到的问题的解析 2,按照下面流程走一遍 此时会加载稍等一下 pom.xml显示中加上阿里云镜像可以加速下载配置文 ...

  9. 实战!spring Boot security+JWT 前后端分离架构认证登录!

    大家好,我是不才陈某~ 认证.授权是实战项目中必不可少的部分,而Spring Security则将作为首选安全组件,因此陈某新开了 <Spring Security 进阶> 这个专栏,写一 ...

随机推荐

  1. 小程序中支持es7的async语法

    小程序中支持es7的async语法 es7的 async 号称是解决回调的最终⽅案 在⼩程序的开发⼯具中,勾选 es6转es5语法 下载 facebook的regenerator库中的 在⼩程序⽬录下 ...

  2. opencv——几何变换原理与实现

    摘要 图像几何变换又称为图像空间变换, 它将一幅图像中的坐标位置映射到另一幅图像中的新坐标位置.几何变换不改变图像的像素值, 只是在图像平面上进行像素的重新安排. 几何变换大致分为仿射变换.投影变换. ...

  3. Asp.NetCore Web开发之初始文件解析

    在写代码之前,有必要了解一下.net帮我们生成的文件都是干什么用的,在开发过程中他们都负责那些地方(下面以MVC模板举例). 先简单介绍一下什么是MVC,MVC(model-view-controll ...

  4. Duplicate entry '' for key 'PRIMARY'

    今天在在mysql中插入数据 因为直接插入查询出来的表格,insert into 表(student_id,class_id) 直接插入了这两个字段对应的查询出来的表 没有留意到该表的主键没有设置自增 ...

  5. Django(33)Django操作cookie

    前言 cookie:在网站中,http请求是无状态的.也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户.cookie的出现就是为了解决这个问题,第一次登录 ...

  6. cms菜单栏二级折叠与交互解决方案(js)(1)

    cms菜单栏二级解决方案(js) 在做一个cms系统的界面时,设计师并未指定二级菜单的交互,于是我就任意发挥,做了一个我自认为符合常规逻辑的方案 如下图 点击左上角收起按钮会收起 左侧菜单栏.中间栏左 ...

  7. CentOS 7系统启动后怎么从命令行模式切换到图形界面模式

    CentOS 7系统启动后怎么从命令行模式切换到图形界面模式原创传智播客官方博客 最后发布于2020-04-08 15:44:43 阅读数 88 收藏展开一.存在问题 在VMware虚拟机中成功安装c ...

  8. 嵌入式Boa服务器上CGI开发-(转自Bryce.Xiao)

    嵌入式WEB服务器常见的有lighttpd shttpd thttpdboa mathopd minihttpdappwebgoahead=============================== ...

  9. STM32进阶日志1

    一 工程习惯 ①必须模块化编程-一个功能一个CH分开,一个对象一个结构体; ②习惯使用bsp.c/bsp.h,BSP板级支持包源文件; ③多使用#define 来定义IO口与硬件相关特性,方便修改; ...

  10. 图解 Redis | 不就是 AOF 持久化嘛

    AOF 日志 试想一下,如果 Redis 每执行一条写操作命令,就把该命令以追加的方式写入到一个文件里,然后重启 Redis 的时候,先去读取这个文件里的命令,并且执行它,这不就相当于恢复了缓存数据了 ...