SpringBoot+Shiro+JWT简单配置要点(思路)

最新推荐文章于 2024-12-23 12:30:00 发布
原创 最新推荐文章于 2024-12-23 12:30:00 发布 · 356 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #jwt #shiro
本文介绍了在SpringBoot中结合Shiro和JWT进行权限管理的配置要点,包括配置Security Manager、创建Realm、定制Authenticator以及自定义Filter。在配置Security Manager时,重点讨论了UsernamePasswordRealm和JWTRealm的创建。对于Authenticator,强调了异常处理的配置。在Filter部分,阐述了如何处理依赖注入问题以及如何生成和校验JWTToken。

首先, 附上一张Shiro核心架构图

 

配置要点

配置Security Manager

创建并配置Realm

在使用JWT作为凭证的web应用中, 需要有这两个Realm:

  1. UsernamePasswordRealm
  2. JWTRealm

其中UsernamePasswordRealm用于登录, JWTRealm用于对header中携带jwt的请求

配置Authenticator

在Authenticator中, 可以配置验证器的相关行为. 验证器调用Realm的doAuthentication()返回验证信息. 可以对返回的token信息(正确的验证信息)和http中的信息(用户提交的验证信息)进行校验.

Authenticator中, 一项重要配置就是: 为验证过程配置全局异常处理. 因为默认的Authenticator会将抛出的异常catch住, 因此在Realm的doAuthentication()方法中抛出的异常无法被全局异常处理程式访问到.

实现自己的AuthenticationStrategy, 并进行设置, 即可解决异常处理问题.

getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常

配置Filter

Shiro的验证过程通过拦截器filter实现.

在JWT场景中, 为了让Shiro对header中的jwt信息进行校验, 必须对默认的拦截器authc进行自定义.

Filter中的依赖注入

在配置的过程中, 一个坑点就是: 如果你希望将你的JWTUtil工具类(或许其它)通过依赖注入的方式注入到你的自定义filter中, 绝对不能使用Autowired注解, 因为filter的初始化早于beans的初始化, 因此是无法将bean通过autowired注入到filter类中的. 解决方法是: 通过为filter类增添构造函数, 在构造函数中传入ApplicationContext, 然后在通过context获取bean.

MyJWTUtil util;
public LoginFilter(ApplicationContext context) {
        this.util = context.getBean(MyJWTUtil.class);
    }

filterFactoryBean.getFilters().put("authc", new LoginFilter(applicationContext));

Filter的token生成

除了在controller登录时生成token外, 还可以在flter中生成token, 以供校验使用. 按道理来说, 一种Filter可以配置多种token. 但对于实际开发而言, 通常一种Filter只对应一种token. 在JWT中就是配置Filter专门用于处理JWT. 在Filter中就要生成JWTToken

Filter装配

将默认的和自带的Filter进行装配. 通常一个Filter可以配置多个url.

@Autowired
    ApplicationContext applicationContext;
    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        filterFactoryBean.setSecurityManager(securityManager);
        HashMap<String, String> filtersMap = new LinkedHashMap<>();

        filterFactoryBean.getFilters().put("authc", new LoginFilter(applicationContext));
        filtersMap.put("/login/common", "anon");
        filtersMap.put("/**", "authc");
        filterFactoryBean.setFilterChainDefinitionMap(filtersMap);
        return filterFactoryBean;
    }

附: Filter的代码

@Data
public class LoginFilter extends AuthenticatingFilter {
    @Autowired
    public ObjectMapper mapper = new ObjectMapper();
    @Autowired
    public MyJWTUtil util;

    public LoginFilter(ApplicationContext context) {
        this.util = context.getBean(MyJWTUtil.class);
    }
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        if (!(request instanceof HttpServletRequest)){
            return null;
        }
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String jwt = httpServletRequest.getHeader("Authorization");
        JWTToken token = new JWTToken();
        token.setId(util.getClaimOfToken(jwt).getSubject());
        token.setJwt(jwt);
        return token;
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        boolean res = false;
        try {
            res = executeLogin(request, response);
        } catch (Exception exception) {
            exception.printStackTrace();
        }
        return res;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        response.setContentType("application/json; charset=utf-8");
        response.getWriter().write(mapper.writeValueAsString(ResultModel.create().setMsg("Without Logging in")));
        // 返回true表示继续处理流程, false直接退出
        return false;
    }

    @Override
    protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        response.setContentType("application/json; charset=utf-8");
        response.getWriter().write(mapper.writeValueAsString(ResultModel.create().setMsg("Without Logging in")));
    }

}
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7564
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
Springboot+Shiro+Jwt实现简单的权限控制
最新发布
qq_66627105的博客
12-23 1392
为什么写下这篇文章?因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。涉及的知识点主要有下列知识点:JWTshiro书写顺序首先使用springboot 结合 jwt完成前后端分离的token认证。其次结合shiro完成shiro+jwt的前后端分离的权限认证管理。
JwtFilter (过滤器
10000guo的博客
01-07 3585
JWTFilter&JWT&Filter
SpringBoot+Shiro+JWT
weixin_37375983的博客
11-10 1204
SpringBoot+Shiro+JWT
springboot整合shiro+jwt+redis详解
zwjzone的博客
05-30 3768
springboot整合shiro+jwt+redis详解
登录认证《JWT+Filter+Interceptor》
weixin_64340669的博客
09-23 426
解决身份校验问题,内含JWT、Filter、Interceptor知识
03.SpringBoot3+JDK17+Shiro+OAuth2授权方式+JWT
qq_45145629的博客
01-24 3186
使用Srpingnoot3+JDK17+Shiro+OAuth授权方式+JWT完成认证授权
知识学习综合
有 prepare , No out
08-08 1231
一 WEB JAVA知识学习 1  JSON web tokens 身份认证 rest webservice的几种方式    a: base64: username    b: 保存shiro里的sessionId, 每次都要回传,有session共享问题(如果服务器部署集群的话)    c: jwt,每次都传 固定的 json,无状态的,支持集群 http://www.ruanyifeng....
Springboot整合JWT
bit_dilidili131的博客
04-25 1096
源代码仓库地址 https://github.com/dilidili131/jwt.git 一、导入jwt依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 二、新建工具类 public class JWT
登录认证(全集)--jwt,Filter,Interceptor详细说明
m0_63144319的博客
06-24 1012
概念:Filter过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。过滤器一般完成一些通用登录校验统一编码处理敏感字符处理等。概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。与过滤器Filter的使用差不多。
Jwt加filter实现app认证
我的博客
07-19 836
导入jwt依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.11.2</version> </dependency> token实体类 @Data public class TokenDto implements Serializable { /
登录校验:JWT令牌、Filter、Interceptor
m0_74399268的博客
03-20 993
初始化方法,Web服务器启动后创建Filter调用,只调用一次。
JWT令牌、过滤器Filter、拦截器Interceptor
m0_46702681的博客
06-16 2321
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
JWT、Filter、Interceptor【登录认证】
qwerasdctds的博客
08-03 721
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。比如:打开了浏览器来访问web服务器上的资源(浏览器不能关闭、服务器不能断开)第1次:访问的是登录的接口,完成登录操作第2次:访问的是部门管理接口,查询所有部门数据第3次:访问的是员工管理接口,查询员工数据。
jwt过滤器
samgreat911的博客
12-02 595
log.debug("从JWT中获取authoritiesJsonString:{}", authoritiesJsonString);log.debug("解析JWT时出现Throwable,需要开发人员在JWT过滤器补充对异常的处理");log.debug("从JWT中获取username:{}", username);log.debug("获取客户端携带的JWT:{}", jwt);// 对于无效的JWT,直接放行,交由后续的组件进行处理。log.debug("从JWT中获取id:{}", id);
SpringBoot整合JWT
m0_71467744的博客
04-17 2308
JWT 就是上述痛点的解决方案之一,客户端在请求服务端进行登录操作时,服务端验证用户的账号和密码,验证成功后生成 token 返回给客户端,之后浏览器的每一次操作都会在请求头中带上这个 token,服务器会验证该 token 信息,验证成功后才会返回资源给浏览器。JWT 的开销非常小,可以轻松在不同的域名中传递,所以在单点登录(SSO)中用到比较广泛,信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。
登录校验,JWT令牌技术,过滤器(Filter)拦截器(interceptor)
烛照@123的博客
12-16 1061
JWt令牌技术,过滤器,拦截器,都是我们在开发中常用的技术。
JWT过滤器
m0_74795259的博客
12-13 740
过滤器
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 9415
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
SpringBoot引入JWT
weixin_45131680的博客
01-13 873
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值