shiro + spring boot +jwt 无状态权限认证

最新推荐文章于 2025-06-02 11:39:57 发布
原创 最新推荐文章于 2025-06-02 11:39:57 发布 · 8.9k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #spring boot #jwt #权限

最近的需求是要在项目中加入权限模块。在对接shrio中查找资料遇到了一些问题。所以记录下spring boot 对接 shiro 以及jwt 生成token 做权限校验。

Shiro框架中有三个核心概念:Subject ,SecurityManager和Realms。

  1. Subject
    Subject表示 执行当前操作的用户,当然subject 不单单指的是用户,它可以是第三方进程、定时任务,等与程序交互的东西。我们可以先给它理解为 当前操作的用户。

  2. SecurityManager
    SecurityManager安全管理器,是Shiro的核心。主要作用于登录、登出用创建主题Subject。它引用了多个内部嵌套安全组件,shiro本身自己调用,客户端使用应该使用Subject,而不是SecurityManager。
    几乎在所有环境下,都能够获得当前执行的 Subject 通过使用 org.apache.shiro.SecurityUtils; getSubject()方法调用一个独立的应用程序,该应用程序可以返回一个在应用程序特有位置上基于用户数据的 Subject, 在服务器环境中(如,Web 应用程序),它基于与当前线程或传入的请求相关的用户数据上获得 Subject。

  3. Realms
    Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。由SecurityManager来管理如何使用Realms来获取安全的身份数据

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息

开始对接

在项目对接中,我们约定了每次请求 都需要在请求头中带上token ,后端从token中取得当前登录用户的信息,进行权限校验

一般来说,数据库的权限表 分为用户表、角色表、权限表、用户角色表、角色权限表,一共五张表来实现,我们此次demo 中不进行数据库设计。假设用户 user,假设角色admin。 具体的角色、权限 可以在实际项目中验证用户时进行处理。很方便的。

首先pom文件添加依赖

 		<!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>
        <!--jwt token-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>

两个依赖 一个是shiro依赖 一个是jwt 生成token 的依赖
我们需要给shiro 进行一个配置。 但是在在配置之前 要写一个过滤器,进行过滤请求,如果请求头里有token则交给realm 进行登录 。需要继承 shiro的 BasicHttpAuthenticationFilter,大概我们需要实现 几个方法,先从请求头取到token,如果有token,则交给 shiro 登录处理。如果没token 则表明属于游客登录,或者没权限

再者说token shiro中AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配成功则表示主体(Subject)认证成功,否则表示认证失败
这里我们需要自定义一个token并且是shrio 认可的token 所以需要继承于 AuthenticationToken

我们先看下token,很简单的继承实现


public class JWTToken implements AuthenticationToken {
    private String token;

    public JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

然后我们看一下 过滤器的实现

package com.jzdsh.demo.filter;

import com.jzdsh.demo.shiro.JWTToken;
import org.apache.shiro.authz.UnauthorizedException;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.URLEncoder;


public class JWTFilter ex
最低0.47元/天 解锁文章

200万优质内容无限畅学
Springboot整合Shiro+JWT
weixin_43424751的博客
04-18 650
在前后端分离的项目中我们通常会采用jwttoken的方式来作为跨域身份验证解决方案。 引入依赖 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!
spring boot集成shiro+redis+jwt
qq_41015193的博客
03-22 1516
spring boot集成shiro+redis+jwt 集成shiro作为权限校验框架 jwt生成token redis缓冲token和用户相关得一些数据 Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。 添加依赖(数据库和持久层框架根据实际情况添加) <!--redis--> <dependency&g
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 1007
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
shiro使用详解
最新发布
weixin_51689532的博客
06-02 525
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供身份认证、授权、加密和会话管理等功能。本文详细介绍了Shiro的核心架构(包括Subject、SecurityManager、Realm等组件)、认证授权流程、MD5与盐值加密、SpringBoot整合、缓存机制(EhCache和Redis)以及权限控制实现。通过实战示例演示了用户注册登录、基于角色和资源的权限控制、Freemarker整合等场景,帮助开发者快速掌握Shiro在企业级应用中的安全防护技术。文章还涵盖了验证码集成、自定义R
Shiro+Spring Boot+jwt
qq_53946134的博客
08-09 6034
Shiro+SpringBoot+jwt集成小的Dome+源代码,源代码在最后提示:以下是本篇文章正文内容,下面案例可供参考。
无状态shiro认证组件(禁用默认session)
aipiannian6725的博客
07-24 813
准备内容 简单的shiro无状态认证   无状态认证拦截器 import com.hjzgg.stateless.shiroSimpleWeb.Constants; import com.hjzgg.stateless.shiroSimpleWeb.realm.StatelessToken; import org.apache.shiro.web.filter....
SpringBoot+Shiro+JWT实现授权
帅帅气气的黑猫警长
09-03 1453
SpringBoot+JWT+Shiro实现前后端分离的授权
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户权限数据,而Redis利用Jedis实现JWT的安全存储和快速访问。这样的设计既...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
基于ShiroJWT无状态安全验证方案
weixin_46628206的博客
03-22 1424
本文涉及的源码地址:https://github.com/davidfantasy/shrio-with-jwt-spring-boot-starter 背景说明 用户权限管理是每个信息系统最基本的需求,对基于Java的项目来说,最常用的权限管理框架就是大名鼎鼎的Apache Shiro。Apache Shiro功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro的设...
shiro前后端分离场景无状态登录身份验证和授权
07-05
本DEMO结合前后端分离场景,实现了用户登录后返回token无状态身份验证和授权访问资源,技术使用springboot+mybatis+shiro+jwt(auth0)+MD5,包含了数据库建表语句。
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring boot 整合JWT+shiro
10-09
spring boot整合JWT+shiro ,异常处理的分装,就是一个简单的整合demo.对初学者很有帮助.
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 9180
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
shiro登陆失败提示_shiro 无状态权限认证
weixin_39617669的博客
12-25 409
shiro 无状态权限认证pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ​ <dependen...
SpringBoot整合jwt+shiro
weixin_38064520的博客
05-22 652
话不多说,直接上代码 引入依赖如下的依赖,springboot不够构建的请先把springboot玩熟了在回来看吧。 <!-- JWT依赖 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0&l
SpringBoot+JWT+Shiro
jakelihua
08-20 789
本文讲解,如何用SpringBoot整合JWTShiro。对于JWTShiro的讲解看这两篇文章,本文只讲解,最后的结合的代码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值