SpringBoot整合Shiro+JWT+Redis
本文介绍了一个SpringBoot项目中整合Shiro、JWT和Redis实现授权认证及缓存功能的过程。针对执行登录操作时出现的凭证不匹配错误,通过自定义证书匹配器解决了该问题。
项目场景
本demo是springboot整合shiro+jwt+redis实现授权认证以及缓存功能。
说明
进行授权测试时,一直未得到理想结果(返回自定义的异常信息),也未报错。Debug发现
执行subject.login(token);报如下错误:
did not match the expected credentials
//与预期的凭证不匹配
原因猜测:在执行是ShiroRealm的doGetAuthenticationInfo方法,最后的认证问题。
/**
* principal 认证的标识:可以是username/id,也可以是实体对象
* redentials 证书,凭证。可以是密码
* realmName realm的name 可以使用 getName()直接获得
* user为实体对象,最好是username或id
*/
return new SimpleAuthenticationInfo(user,user,getName());;
debug查看认证策略:
1.无限F8。找到getAuthenticationInfo发现里面主要方法在
assertCredentialsMatch(token, info);
2.点进去发现异常信息所在:
3.发现了doCredentialsMatch方法返回boolean类型,并且进行自定义equals方法比较,看到这我就知道问题所在了,凭证匹配失败!!!。
我用的是token令牌,不需要这么比较。再想到之前项目要自定义凭证比较器,突然想骂自己!
如果未使用这种token令牌相关的比较,一般都是密码比对失败,比如你加密规则不一致等问题。
问题解决
1.自定义证书匹配器
/**
* 自定义证书匹配器
*/
public class JwtCredentialsMatcher implements CredentialsMatcher {
private Logger logger = LoggerFactory.getLogger(this.getClass());
@Override
public boolean doCredentialsMatch(AuthenticationToken authToken, AuthenticationInfo info) {
String token = authToken.getPrincipal().toString();
//验证正确性和时效性
return JwtUtils.verify(token, JwtUtils.getUsername(token), JwtUtils.SECRET) && !JwtUtils.isTokenExpired(token);
}
}
shiroConfig中进行配置
@Bean
public ShiroRealm shiroRealm() {
ShiroRealm shiroRealm = new ShiroRealm();
//增加下两行
CredentialsMatcher credentialsMatcher = new JwtCredentialsMatcher();
shiroRealm.setCredentialsMatcher(credentialsMatcher);
return shiroRealm;
}
运行测试,OK!
总结
会抽时间将shiro相关操作都写下来。
扫一扫
5997
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
