SpringBoot系列-集成JWT实现接口权限认证

最新推荐文章于 2026-04-24 09:01:10 发布
转载 最新推荐文章于 2026-04-24 09:01:10 发布 · 585 阅读 · 0
本文详细介绍JWT(JSON Web Token)的原理与应用,包括JWT的构成、加密与解密过程,以及如何在SpringBoot项目中集成JWT进行RESTful API的认证与授权。通过示例代码演示JWT的生成、验证及异常处理,同时展示了Shiro框架与JWT的结合使用。

原文出处:http://ju.outofmemory.cn/entry/341269

RESTful API认证方式

一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。

Authentication vs. Authorization

Authentication指的是确定这个用户的身份,Authorization是确定该用户拥有什么操作权限。

认证方式一般有三种

Basic Authentication

这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。

TOKEN认证

这种方式也是再HTTP头中,使用 Authorization: Bearer <token> ,使用最广泛的TOKEN是JWT,通过签名过的TOKEN。

OAuth2.0

这种方式安全等级最高,但是也是最复杂的。如果不是大型API平台或者需要给第三方APP使用的,没必要整这么复杂。

一般项目中的RESTful API使用JWT来做认证就足够了。

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT官网: https://jwt.io/

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

 

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)。

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

这里的加密算法是单向函数散列算法,常见的有MD5、SHA、HAMC。这里使用基于密钥的Hash算法HMAC生成散列值。

  • MD5 message-digest algorithm 5 (信息-摘要算法)缩写,广泛用于加密和解密技术,常用于文件校验。校验?不管文件多大,经过MD5后都能生成唯一的MD5值
  • SHA (Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,安全性高于MD5
  • HMAC (Hash Message Authentication Code,散列消息鉴别码,基于密钥的Hash算法的认证协议。用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。常用于接口签名验证

完整的头部就像下面这样的JSON:

 

  1. {

  2. &apos;typ&apos;: &apos;JWT&apos;,

  3. &apos;alg&apos;: &apos;HS256&apos;

  4. }

 

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

 

playload

载荷就是存放有效信息的地方,这些有效信息包含三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明:

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密

私有的声明:

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

 

  1. {

  2. "sub": "1234567890",

  3. "name": "John Doe",

  4. "admin": true

  5. }

 

然后将其进行base64加密,得到Jwt的第二部分:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

 

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

 

  1. header (base64后的)

  2. payload (base64后的)

  3. secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

 

  1. // javascript

  2. var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

  3. var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

 

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

如何应用

一般是在请求头里加入Authorization,并加上Bearer标注:

 

  1. fetch('api/user/1', {

  2. headers: {

  3. 'Authorization': 'Bearer ' + token

  4. }

  5. })

 

服务器负责解析这个HTTP头来做用户认证和授权处理。大致流程如下:

安全相关

JWT协议本身不具备安全传输功能,所以必须借助于SSL/TLS的安全通道,所以建议如下:

  1. 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  2. 保护好secret私钥,该私钥非常重要。
  3. 如果可以,请使用https协议

和SpringBoot集成

简要的说明下我们为什么要用JWT,因为我们要实现完全的前后端分离,所以不可能使用session,cookie的方式进行鉴权,所以JWT就被派上了用场,可以通过一个加密密钥来进行前后端的鉴权。

程序逻辑:

  1. 我们POST用户名与密码到/login进行登入,如果成功返回一个加密token,失败的话直接返回401错误。
  2. 之后用户访问每一个需要权限的网址请求必须在header中添加Authorization字段,例如Authorization: token,token为密钥。
  3. 后台会进行token的校验,如果不通过直接返回401。

这里我讲一下如何在SpringBoot中使用JWT来做接口权限认证,安全框架依旧使用Shiro,JWT的实现使用 jjwt

添加Maven依赖

 

  1. <dependency>

  2. <groupId>org.springframework.boot</groupId>

  3. <artifactId>spring-boot-starter-web</artifactId>

  4. <exclusions>

  5. <exclusion>

  6. <groupId>org.springframework.boot</groupId>

  7. <artifactId>spring-boot-starter-tomcat</artifactId>

  8. </exclusion>

  9. </exclusions>

  10. </dependency>

  11. <dependency>

  12. <groupId>org.springframework.boot</groupId>

  13. <artifactId>spring-boot-starter-jetty</artifactId>

  14. </dependency>

  15. <dependency>

  16. <groupId>com.auth0</groupId>

  17. <artifactId>java-jwt</artifactId>

  18. <version>3.3.0</version>

  19. </dependency>

  20. <!-- shiro 权限控制 -->

  21. <dependency>

  22. <groupId>org.apache.shiro</groupId>

  23. <artifactId>shiro-spring</artifactId>

  24. <version>1.4.0</version>

  25. <exclusions>

  26. <exclusion>

  27. <artifactId>slf4j-api</artifactId>

  28. <groupId>org.slf4j</groupId>

  29. </exclusion>

  30. </exclusions>

  31. </dependency>

  32. <!-- shiro ehcache (shiro缓存)-->

  33. <dependency>

  34. <groupId>org.apache.shiro</groupId>

  35. <artifactId>shiro-ehcache</artifactId>

  36. <version>1.4.0</version>

  37. <exclusions>

  38. <exclusion>

  39. <artifactId>slf4j-api</artifactId>

  40. <groupId>org.slf4j</groupId>

  41. </exclusion>

  42. </exclusions>

  43. </dependency>

创建用户Service

这个在shiro一节讲过如果创建角色权限表,添加用户Service来执行查找用户操作,这里就不多讲具体实现了,只列出关键代码:

 

  1. /**

  2. * 通过名称查找用户

  3. *

  4. * @param username

  5. * @return

  6. */

  7. public ManagerInfo findByUsername(String username) {

  8. ManagerInfo managerInfo = managerInfoDao.findByUsername(username);

  9. if (managerInfo == null) {

  10. throw new UnknownAccountException();

  11. }

  12. return managerInfo;

  13. }

用户信息类:

 

  1. public class ManagerInfo implements Serializable {

  2. private static final long serialVersionUID = 1L;

  3. /**

  4. * 主键ID

  5. */

  6. private Integer id;

  7. /**

  8. * 账号

  9. */

  10. private String username;

  11. /**

  12. * 密码

  13. */

  14. private String password;

  15. /**

  16. * md5密码盐

  17. */

  18. private String salt;

  19. /**

  20. * 一个管理员具有多个角色

  21. */

  22. private List<SysRole> roles;

 

JWT工具类

我们写一个简单的JWT加密,校验工具,并且使用用户自己的密码充当加密密钥,这样保证了token 即使被他人截获也无法破解。并且我们在token中附带了username信息,并且设置密钥5分钟就会过期。

 

  1. public class JWTUtil {

  2.  

  3. // 过期时间5分钟

  4. private static final long EXPIRE_TIME = 5 * 60 * 1000;

  5.  

  6. /**

  7. * 校验token是否正确

  8. *

  9. * @param token 密钥

  10. * @param secret 用户的密码

  11. * @return 是否正确

  12. */

  13. public static boolean verify(String token, String username, String secret) {

  14. try {

  15. Algorithm algorithm = Algorithm.HMAC256(secret);

  16. JWTVerifier verifier = JWT.require(algorithm)

  17. .withClaim("username", username)

  18. .build();

  19. DecodedJWT jwt = verifier.verify(token);

  20. return true;

  21. } catch (Exception exception) {

  22. return false;

  23. }

  24. }

  25.  

  26. /**

  27. * 获得token中的信息无需secret解密也能获得

  28. *

  29. * @return token中包含的用户名

  30. */

  31. public static String getUsername(String token) {

  32. try {

  33. DecodedJWT jwt = JWT.decode(token);

  34. return jwt.getClaim("username").asString();

  35. } catch (JWTDecodeException e) {

  36. return null;

  37. }

  38. }

  39.  

  40. /**

  41. * 生成签名,5min后过期

  42. *

  43. * @param username 用户名

  44. * @param secret 用户的密码

  45. * @return 加密的token

  46. */

  47. public static String sign(String username, String secret) {

  48. try {

  49. Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

  50. Algorithm algorithm = Algorithm.HMAC256(secret);

  51. // 附带username信息

  52. return JWT.create()

  53. .withClaim("username", username)

  54. .withExpiresAt(date)

  55. .sign(algorithm);

  56. } catch (UnsupportedEncodingException e) {

  57. return null;

  58. }

  59. }

  60. }

编写登录接口

为了让用户登录的时候获取到正确的JWT Token,需要实现登录接口,这里我编写一个 LoginController.java 

 

  1. @RestController

  2. public class LoginController {

  3.  

  4. @Resource

  5. private ManagerInfoService managerInfoService;

  6.  

  7. private static final Logger _logger = LoggerFactory.getLogger(LoginController.class);

  8.  

  9. @PostMapping("/login")

  10. public BaseResponse login(@RequestParam("username") String username,

  11. @RequestParam("password") String password) {

  12. ManagerInfo user = managerInfoService.findByUsername(username);

  13. //盐(用户名+随机数)

  14. String salt = user.getSalt();

  15. //原密码

  16. String encodedPassword = ShiroKit.md5(password, username + salt);

  17. if (user.getPassword().equals(encodedPassword)) {

  18. return new BaseResponse(true, "Login success", JWTUtil.sign(username, encodedPassword));

  19. } else {

  20. throw new UnauthorizedException();

  21. }

  22. }

  23.  

  24. @RequestMapping(path = "/401")

  25. @ResponseStatus(HttpStatus.UNAUTHORIZED)

  26. public BaseResponse unauthorized() {

  27. return new BaseResponse(false, "Unauthorized", null);

  28. }

  29.  

  30. }

注意上面登录的时候,我会从数据库中把这个用户取出来,密码加盐算MD5值比较,通过之后再用密码作为密钥来签名生成JWT。

编写RESTful接口

先编写一个通用的接口返回类:

 

  1. /**

  2. * API接口的基础返回类

  3. *

  4. * @author XiongNeng

  5. * @version 1.0

  6. * @since 2018/1/7

  7. */

  8. public class BaseResponse<T> {

  9. /**

  10. * 是否成功

  11. */

  12. private boolean success;

  13.  

  14. /**

  15. * 说明

  16. */

  17. private String msg;

  18.  

  19. /**

  20. * 返回数据

  21. */

  22. private T data;

  23.  

  24. public BaseResponse() {

  25.  

  26. }

  27.  

  28. public BaseResponse(boolean success, String msg, T data) {

  29. this.success = success;

  30. this.msg = msg;

  31. this.data = data;

  32. }

  33. }

通过SpringMVC实现RESTful接口,这里我只写一个示例方法:

 
  1.  

  2. @RestController

  3. @RequestMapping(value = "/api/v1")

  4. public class PublicController {

  5.  

  6. @Resource

  7. private ApiService apiService;

  8. /**

  9. * 请求入网接口

  10. *

  11. * @return 处理结果

  12. */

  13. @RequestMapping(value = "/join", method = RequestMethod.POST)

  14. @RequiresRoles("admin")

  15. public ResponseEntity<BaseResponse> doJoin(@RequestBody PosParam posParam) {

  16. _logger.info("请求入网接口 start....");

  17. BaseResponse result = new BaseResponse();

  18. // imei码约束检查

  19. if (StringUtils.isEmpty(posParam.getImei()) || posParam.getImei().length() > 32) {

  20. result.setSuccess(false);

  21. result.setMsg("IMEI码长度不是1-32位,入网失败。");

  22. return new ResponseEntity<>(result, HttpStatus.OK);

  23. }

  24. Pos pos = new Pos();

  25. Date now = new Date();

  26. pos.setJointime(now);

  27. pos.setBindtime(now);

  28. BeanUtils.copyProperties(posParam, pos);

  29. // 插入一条新纪录

  30. pos.setProjectId(project.getId());

  31. int insert = apiService.insertPos(pos);

  32. if (insert > 0) {

  33. result.setSuccess(true);

  34. result.setMsg("入网成功");

  35. return new ResponseEntity<>(result, HttpStatus.CREATED);

  36. } else {

  37. result.setSuccess(false);

  38. result.setMsg("入网失败,请联系管理员。");

  39. return new ResponseEntity<>(result, HttpStatus.OK);

  40. }

  41. }

  42. }

自定义异常

为了实现我自己能够手动抛出异常,我自己写了一个 UnauthorizedException.java

 

  1. public class UnauthorizedException extends RuntimeException {

  2. public UnauthorizedException(String msg) {

  3. super(msg);

  4. }

  5.  

  6. public UnauthorizedException() {

  7. super();

  8. }

  9. }

处理框架异常

之前说过restful要统一返回的格式,所以我们也要全局处理Spring Boot的抛出异常。利用@RestControllerAdvice能很好的实现。注意这个统一异常处理器只对认证过的用户调用接口中的异常有作用,对AuthenticationException没有用

 

  1. @RestControllerAdvice

  2. public class ExceptionController {

  3.  

  4. // 捕捉shiro的异常

  5. @ResponseStatus(HttpStatus.UNAUTHORIZED)

  6. @ExceptionHandler(ShiroException.class)

  7. public BaseResponse handle401(ShiroException e) {

  8. return new BaseResponse(false, "shiro的异常", null);

  9. }

  10.  

  11. // 捕捉UnauthorizedException

  12. @ResponseStatus(HttpStatus.UNAUTHORIZED)

  13. @ExceptionHandler(UnauthorizedException.class)

  14. public BaseResponse handle401() {

  15. return new BaseResponse(false, "UnauthorizedException", null);

  16. }

  17.  

  18. // 捕捉其他所有异常

  19. @ExceptionHandler(Exception.class)

  20. @ResponseStatus(HttpStatus.BAD_REQUEST)

  21. public BaseResponse globalException(HttpServletRequest request, Throwable ex) {

  22. return new BaseResponse(false, "其他异常", null);

  23. }

  24.  

  25. private HttpStatus getStatus(HttpServletRequest request) {

  26. Integer statusCode = (Integer) request.getAttribute("javax.servlet.error.status_code");

  27. if (statusCode == null) {

  28. return HttpStatus.INTERNAL_SERVER_ERROR;

  29. }

  30. return HttpStatus.valueOf(statusCode);

  31. }

  32. }

配置Shiro

大家可以先看下官方的 Spring-Shiro 整合教程,有个初步的了解。不过既然我们用了SpringBoot,那我们肯定要争取零配置文件。

实现JWTToken

JWTToken差不多就是Shiro用户名密码的载体。因为我们是前后端分离,服务器无需保存用户状态,所以不需要RememberMe这类功能,我们简单的实现下AuthenticationToken接口即可。因为token自己已经包含了用户名等信息,所以这里我就弄了一个字段。如果你喜欢钻研,可以看看官方的UsernamePasswordToken是如何实现的。

 

  1. public class JWTToken implements AuthenticationToken {

  2.  

  3. // 密钥

  4. private String token;

  5.  

  6. public JWTToken(String token) {

  7. this.token = token;

  8. }

  9.  

  10. @Override

  11. public Object getPrincipal() {

  12. return token;

  13. }

  14.  

  15. @Override

  16. public Object getCredentials() {

  17. return token;

  18. }

  19. }

实现Realm

realm的用于处理用户是否合法的这一块,需要我们自己实现。

 

  1. /**

  2. * Description : 身份校验核心类

  3. */

  4.  

  5. public class MyShiroRealm extends AuthorizingRealm {

  6.  

  7. private static final Logger _logger = LoggerFactory.getLogger(MyShiroRealm.class);

  8.  

  9. @Autowired

  10. ManagerInfoService managerInfoService;

  11.  

  12. /**

  13. * JWT签名密钥,这里没用。我使用的是用户的MD5密码作为签名密钥

  14. */

  15. public static final String SECRET = "9281e268b77b7c439a20b46fd1483b9a";

  16.  

  17. /**

  18. * 必须重写此方法,不然Shiro会报错

  19. */

  20. @Override

  21. public boolean supports(AuthenticationToken token) {

  22. return token instanceof JWTToken;

  23. }

  24.  

  25. /**

  26. * 认证信息(身份验证)

  27. * Authentication 是用来验证用户身份

  28. *

  29. * @param auth

  30. * @return

  31. * @throws AuthenticationException

  32. */

  33. @Override

  34. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth)

  35. throws AuthenticationException {

  36. _logger.info("MyShiroRealm.doGetAuthenticationInfo()");

  37.  

  38. String token = (String) auth.getCredentials();

  39. // 解密获得username,用于和数据库进行对比

  40. String username = JWTUtil.getUsername(token);

  41. if (username == null) {

  42. throw new AuthenticationException("token invalid");

  43. }

  44.  

  45. //通过username从数据库中查找 ManagerInfo对象

  46. //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法

  47. ManagerInfo managerInfo = managerInfoService.findByUsername(username);

  48.  

  49. if (managerInfo == null) {

  50. throw new AuthenticationException("User didn't existed!");

  51. }

  52.  

  53. if (!JWTUtil.verify(token, username, managerInfo.getPassword())) {

  54. throw new AuthenticationException("Username or password error");

  55. }

  56.  

  57. return new SimpleAuthenticationInfo(token, token, "my_realm");

  58. }

  59.  

  60. /**

  61. * 此方法调用hasRole,hasPermission的时候才会进行回调.

  62. * <p>

  63. * 权限信息.(授权):

  64. * 1、如果用户正常退出,缓存自动清空;

  65. * 2、如果用户非正常退出,缓存自动清空;

  66. * 3、如果我们修改了用户的权限,而用户不退出系统,修改的权限无法立即生效。

  67. * (需要手动编程进行实现;放在service进行调用)

  68. * 在权限修改后调用realm中的方法,realm已经由spring管理,所以从spring中获取realm实例,调用clearCached方法;

  69. * :Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

  70. *

  71. * @param principals

  72. * @return

  73. */

  74. @Override

  75. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

  76. /*

  77. * 当没有使用缓存的时候,不断刷新页面的话,这个代码会不断执行,

  78. * 当其实没有必要每次都重新设置权限信息,所以我们需要放到缓存中进行管理;

  79. * 当放到缓存中时,这样的话,doGetAuthorizationInfo就只会执行一次了,

  80. * 缓存过期之后会再次执行。

  81. */

  82. _logger.info("权限配置-->MyShiroRealm.doGetAuthorizationInfo()");

  83. String username = JWTUtil.getUsername(principals.toString());

  84.  

  85. // 下面的可以使用缓存提升速度

  86. ManagerInfo managerInfo = managerInfoService.findByUsername(username);

  87.  

  88. SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

  89.  

  90. //设置相应角色的权限信息

  91. for (SysRole role : managerInfo.getRoles()) {

  92. //设置角色

  93. authorizationInfo.addRole(role.getRole());

  94. for (Permission p : role.getPermissions()) {

  95. //设置权限

  96. authorizationInfo.addStringPermission(p.getPermission());

  97. }

  98. }

  99. return authorizationInfo;

  100. }

  101.  

  102. }

在 doGetAuthenticationInfo 中用户可以自定义抛出很多异常,详情见文档。

重写Filter

所有的请求都会先经过Filter,所以我们继承官方的 BasicHttpAuthenticationFilter ,并且重写鉴权的方法,另外通过重写preHandle,实现跨越访问。

代码的执行流程 preHandle->isAccessAllowed->isLoginAttempt->executeLogin

 

  1. public class JWTFilter extends BasicHttpAuthenticationFilter {

  2.  

  3. private Logger LOGGER = LoggerFactory.getLogger(this.getClass());

  4.  

  5. /**

  6. * 判断用户是否想要登入。

  7. * 检测header里面是否包含Authorization字段即可

  8. */

  9. @Override

  10. protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {

  11. HttpServletRequest req = (HttpServletRequest) request;

  12. String authorization = req.getHeader("Authorization");

  13. return authorization != null;

  14. }

  15.  

  16. /**

  17. *

  18. */

  19. @Override

  20. protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {

  21. HttpServletRequest httpServletRequest = (HttpServletRequest) request;

  22. String authorization = httpServletRequest.getHeader("Authorization");

  23. JWTToken token = new JWTToken(authorization);

  24. // 提交给realm进行登入,如果错误他会抛出异常并被捕获

  25. getSubject(request, response).login(token);

  26. // 如果没有抛出异常则代表登入成功,返回true

  27. return true;

  28. }

  29.  

  30. /**

  31. * 这里我们详细说明下为什么最终返回的都是true,即允许访问

  32. * 例如我们提供一个地址 GET /article

  33. * 登入用户和游客看到的内容是不同的

  34. * 如果在这里返回了false,请求会被直接拦截,用户看不到任何东西

  35. * 所以我们在这里返回true,Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入

  36. * 如果有些资源只有登入用户才能访问,我们只需要在方法上面加上 @RequiresAuthentication 注解即可

  37. * 但是这样做有一个缺点,就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法),但实际上对应用影响不大

  38. */

  39. @Override

  40. protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

  41. if (isLoginAttempt(request, response)) {

  42. try {

  43. executeLogin(request, response);

  44. } catch (Exception e) {

  45. response401(request, response);

  46. }

  47. }

  48. return true;

  49. }

  50.  

  51. /**

  52. * 对跨域提供支持

  53. */

  54. @Override

  55. protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

  56. HttpServletRequest httpServletRequest = (HttpServletRequest) request;

  57. HttpServletResponse httpServletResponse = (HttpServletResponse) response;

  58. httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));

  59. httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");

  60. httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));

  61. // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态

  62. if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {

  63. httpServletResponse.setStatus(HttpStatus.OK.value());

  64. return false;

  65. }

  66. return super.preHandle(request, response);

  67. }

  68.  

  69. /**

  70. * 将非法请求跳转到 /401

  71. */

  72. private void response401(ServletRequest req, ServletResponse resp) {

  73. try {

  74. HttpServletResponse httpServletResponse = (HttpServletResponse) resp;

  75. httpServletResponse.sendRedirect("/401");

  76. } catch (IOException e) {

  77. LOGGER.error(e.getMessage());

  78. }

  79. }

  80. }

编写ShiroConfig配置类

这里我还增加了EhCache缓存管理支持,不需要每次都调用数据库做授权。

 

  1. @Configuration

  2. @Order(1)

  3. public class ShiroConfig {

  4. /**

  5. * ShiroFilterFactoryBean 处理拦截资源文件问题。

  6. * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在

  7. * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager Filter Chain定义说明

  8. * 1、一个URL可以配置多个Filter,使用逗号分隔

  9. * 2、当设置多个过滤器时,全部验证通过,才视为通过

  10. * 3、部分过滤器可指定参数,如perms,roles

  11. */

  12. @Bean

  13. public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {

  14.  

  15. ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

  16. // 必须设置 SecurityManager

  17. shiroFilterFactoryBean.setSecurityManager(securityManager);

  18. //验证码过滤器

  19. Map<String, Filter> filtersMap = shiroFilterFactoryBean.getFilters();

  20. filtersMap.put("jwt", new JWTFilter());

  21. shiroFilterFactoryBean.setFilters(filtersMap);

  22.  

  23. // 拦截器

  24. Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

  25.  

  26. // 其他的

  27. filterChainDefinitionMap.put("/**", "jwt");

  28.  

  29. // 访问401和404页面不通过我们的Filter

  30. filterChainDefinitionMap.put("/401", "anon");

  31. filterChainDefinitionMap.put("/404", "anon");

  32.  

  33. shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

  34. return shiroFilterFactoryBean;

  35. }

  36.  

  37. @Bean

  38. public SecurityManager securityManager() {

  39. DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

  40. // 设置realm.

  41. securityManager.setRealm(myShiroRealm());

  42. //注入缓存管理器

  43. securityManager.setCacheManager(ehCacheManager());

  44. // 关闭shiro自带的session

  45. DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

  46. DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();

  47. defaultSessionStorageEvaluator.setSessionStorageEnabled(false);

  48. subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);

  49. securityManager.setSubjectDAO(subjectDAO);

  50.  

  51. return securityManager;

  52. }

  53.  

  54. /**

  55. * 身份认证realm; (这个需要自己写,账号密码校验;权限等)

  56. */

  57. @Bean

  58. public MyShiroRealm myShiroRealm() {

  59. MyShiroRealm myShiroRealm = new MyShiroRealm();

  60. return myShiroRealm;

  61. }

  62.  

  63. /**

  64. * 开启shiro aop注解支持. 使用代理方式; 所以需要开启代码支持;

  65. *

  66. * @param securityManager 安全管理器

  67. * @return 授权Advisor

  68. */

  69. @Bean

  70. public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

  71. AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

  72. authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

  73. return authorizationAttributeSourceAdvisor;

  74. }

  75.  

  76. /**

  77. * shiro缓存管理器;

  78. * 需要注入对应的其它的实体类中:

  79. * 1、安全管理器:securityManager

  80. * 可见securityManager是整个shiro的核心;

  81. *

  82. * @return

  83. */

  84. @Bean

  85. public EhCacheManager ehCacheManager() {

  86. EhCacheManager cacheManager = new EhCacheManager();

  87. cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");

  88. return cacheManager;

  89. }

  90.  

  91. }

里面URL规则自己参考文档 http://shiro.apache.org/web.html ,这个在shiro那篇说的很清楚了。

运行验证

最后是将代码跑起来验证这一切是否正常。

启动SpringBoot后,先通过POST请求登录拿到token

然后在调用入网接口的时候在header中带上这个token认证:

如果token认证不正确会报异常:

如果使用普通用户登录,认证正确但是授权访问接口失败,会返回如下的未授权结果:

参考文章

RESTful API认证方式

一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。

Authentication vs. Authorization

Authentication指的是确定这个用户的身份,Authorization是确定该用户拥有什么操作权限。

认证方式一般有三种

Basic Authentication

这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。

TOKEN认证

这种方式也是再HTTP头中,使用 Authorization: Bearer <token> ,使用最广泛的TOKEN是JWT,通过签名过的TOKEN。

OAuth2.0

这种方式安全等级最高,但是也是最复杂的。如果不是大型API平台或者需要给第三方APP使用的,没必要整这么复杂。

一般项目中的RESTful API使用JWT来做认证就足够了。

weifubin
关注
Springboot+Spring-Security+JWT 实现用户登录和权限认证
热门推荐
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
SpringBoot系列 - 集成JWT实现接口权限认证
weixin_44981498的博客
06-21 1007
一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。 Authentication指的是确定这个用户的身份,Authorization是确定该用户拥有什么操作权限认证方式一般有三种 Basic Authentication 这种方式是直接将用户名和密码放到Header中,使用Authorization: Basic Zm9vOmJhcg==,使用最简单但是最不安全。 TOKEN认证 这种方式也是再HTTP头中,使用A
JWT-Token 的简单使用
u010925982的博客
11-13 1203
JWTToken的简单使用 1.前端登录username,pssword 2.后端接收并使用username参数用JWT的方式生成token令牌 JWT会自己保存这个令牌并设置保存的时间,工具类有 3.返回token令牌给前端使用 这里只是简单的介绍jwt-token的使用 maven包: <!-- JWT-Token --> <dependency> ...
接入Shiro(2)——基于JWT的登录认证
江湖郎中
06-01 1054
本文在前文的基础上,简单实现了用户登录、基于JWT生成Token、然后在Shiro的框架内对Token进行了验证。文中的用户登录未对接用户系统,本文主旨是分享JWT生成Token的过程,以及对Token进行验证的基本逻辑。希望可以帮助到像我一样迷茫的小伙伴。
SpringBoot 接口签名验证(AppKey/Secret)
最新发布
。。。
04-24 527
无法解决接口传输安全问题。接口在公网传输过程中,极易被抓包拦截、参数恶意篡改、接口重复调用、重放攻击、恶意刷接口等安全风险。在前后端分离、移动端App、第三方服务对接、开放API接口、微服务间接口调用场景中,单纯的TokenJWT只能完成。,支持字典序排序、MD5加密、HMAC加密、全场景签名生成与校验,完善空值过滤、参数去重、格式统一处理。记录每一次请求的AppKey、时间、签名结果、参数、异常信息,便于安全审计、问题排查。同时编写需要签名接口、公开免签名接口、JSON请求体接口,完整测试全场景。
shiro之前后端分离(基于jwttoken安全认证
weixin_45390688的博客
12-25 6370
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 957
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3601
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
SpringSecurity+SpringBoot前后端分离的权限验证和管理的实现方法
qq_29586495的博客
12-10 4749
SpringSecurity+SpringBoot+前后端分离的权限验证和管理的实现方法 0.本文目标 使用SpringSecurity框架进行访问用户的身份验证和权限鉴定,而且做成前后端分离的模式,即后端数据库没有界面,只返回Json作为处理结果。 1.SpringSecurity的作用 SpringSecurity提供了一个权限的验证管理的快速搭建工具。 以Web开发为例,使用SpringSecurity框架后, 可以对前端发来的url请求进行拦截,从而验证用户的权限是否允许该用户进行此请求。 提供了
手牵手带你整合Shiro+JWT实现认证功能
m0_54853420的博客
03-30 600
需要对 shiro 和 jwt 有一定的了解。 Shiro和JWT的区别 整合之前需要清楚Shiro和JWT的区别。 首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生成token的机制,需要我们自己编写相关的生成逻辑。 其次Shiro可以对权限进行管理,JWT权限这部分也只能封装到token中,需要我们自己实现处理逻辑。 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存session,而是生成tok.
mall整合SpringSecurity和JWT实现认证和授权(一)
macrozheng的专栏
05-13 2541
本文主要讲解mall通过整合SpringSecurity和JWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。项目使用...
太顶了!简单几行代码,优雅的实现 SpringBoot 项目鉴权!
m0_71777195的博客
05-10 1244
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。Sa-Token框架的官方文档:https://sa-token.cc/doc.html#/
jwt认证前端带的Authorization格式
zhushixia1989的博客
10-19 4245
有些文件显示是Authorization: "Bearer " + token 或者 Authorization: "JWT " + token
restful风格请求,基于token鉴权实例
01-03 580
点赞再看,养成习惯 开发环境: jdk 8 intellij idea maven 3.6 所用技术: springboot restful 项目介绍 基于restful风格做的设计实例,即可jwttoken效验,实现增删查改,同时搭配自定义注解,方便过滤token验证 自定义注解 1.需要做验证的注解 @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interf
java授予更新权限_Spring Security代码实现JWT接口权限授予与校验功能
weixin_36454562的博客
03-02 577
通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。一、环境准备工作建立Spring Boot项目并集成了Spring Security,项目可以正常启动通过controller写一个HTTP的GET方法服务接口,比如:“/hello”实现最基本的动态数据验证及权限分配,即实现Us...
Spring Boot集成MyBatis、Redis、JWT、Shiro
Coder_py的博客
06-03 589
Spring Boot集成MyBatis、Redis、JWT、Shiro 认证流程 自定义过滤器 @Slf4j public class JwtFilter extends BasicHttpAuthenticationFilter { /** * 执行登录认证 * * @param request * @param response * @param mappedValue * @return */ @Overri
springsecurity+jwt实现认证和授权
心藏_的博客
01-06 2819
学习了一下springsecurity和jwt的使用。现在就来总结一下,springsecurity+jwt实现认证和授权
SpringBoot+JWT实现用户接口访问权限验证
qq_24138151的博客
08-05 2189
流程: 1.用户访问login接口,验证用户身份信息,并生成token绑定用户信息,token返回前端 2.前端把token存入request header中访问后端接口即可成功,否则提示无权访问 代码部分: 1.JwtUtil类 (生成token,校验token等) /* * * @Author qy * <p> JWT工具类 </p> * @Param * @Return */ public class JwtUtil { // Token过期时间
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值