特别享受思考问题的过程

文章目录OAuth2.0 授权码模式 实践依赖知识术语授权码流程认证服务器拉起请求用户授权页面用户手动授权提交授权、生成code下发Token第三方应用收到code并请求Token访问受保护的资源项目结构项目部署项目完整代码相关文章OAuth2.0 授权码模式 实践本篇文章不适合作为授权码模式的入门文章来阅读，适合想要自己实现授权码模式或体验授权码模式的开发者阅读依赖知识RestEasynimbus-jose-jwtJPACDIjavax.security术语Resource Ow

文章目录JWT(JSON Web Token)的使用前言JWT的作用和基本格式基本格式为什么需要签名？JWT相关的库nimbus-jose-jwt和jsonwebtoken的选择nimbus-jose-jwt使用JWSHMAC加密算法使用HMAC的场景生成使用HMAC加密算法的jwt解析HMAC加密算法的jwtRSA加密算法使用RSA的场景在线生成RSA公钥和私钥生成使用RSA加密算法的jwt解析RAS加密算法的jwtJWE使用RSA对内容进行加密JWS + JWE关于RSA的一些解释备注JWT(JSON

至此，shiro和springboot和JWT的集成全部完毕，下面为完整代码。第一：shiroConfig，整个shiro的配置类。这里sesssion交给了shiro默认去管理，不在做过多的配置，一方面shiro的session时间够用了，另一方便，没必要把配置类搞得这么庞大，以前的shiro文章里特地讲了shiro的session，包括集成quatz。请看这里/** * sh...

既然要做，就要做的细致一点，对得起自己！上一篇文章已经使用自己的最最最简单的token来完成token的校验，因为当时了解到有JWT这个token，而且现在用的也是比较多，所以就讲shiro和JWT做了结合。上一篇文章最后提到的各种目前未能解决问题，JWT都提供了解决方案。解决思路：将上一篇文章普通我自己写的token使用JWT替换一下即可，整体思路还是没变。第一步：编写一个J...

既然要做,就做的细致一点，对得起自己！为什么使用token，请看这里解决思路：1.增加一个过滤器，对每一个请求都进行token的校验。如果为登录请求，则可以放过。2.将过滤器设置进shiro中。第一步：实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter，至于为什么不继承AuthenticatingFilter，后面会解释。从当前s...

既然要做，就做的细致一点，对得起自己！一个应用最基本的职责就应该保护用户信息的安全，至于为什么登录密码或者相关的密码要加密，不再赘述。前台新增用户时，用户设置登录名和密码，shiro对用户输入的密码进行加密处理，由于最近在搞Springboot，所以以后shiro相关的配置都会以在springboot中的形式展示。常见问题：1.如果在加密时，发现数据库里的密码还是没有加密成功，还是明文...

既然要做，就做的细致一点，对得起自己！常见问题：1.是否思考过传统web项目是如何进行请求合法性的验证？请看第一部分 2.是否认真思考过token和Session相比真正的优势在哪里？请看简单总结 3.使用token的正确姿势是什么？请看问题思考第一部分：传统web(前后端没有分离的时代)项目是如何保证服务器接收的请...

既然要做，就做的细致一点，对得起自己！写在前面:学过JSP的都知道,这种实现的方式就是cookie,就够了。配置shiro.xml，配置cookie.1.配置cookie的名字，存活时间以及其他<bean id="cookieRememberMe" class="org.apache.shiro.web.servlet.simpleCookie"> <con...

既然要做，就做的细致一点，对得起自己！在shiro中配置session，普通思想：配置session的过期时间，session到期之后，要求用户再次发起登录请求。进阶思想：如果用户一直不关闭浏览器，或者过早的关闭了浏览器，那么就要相应的更新session时间和定期清理这些过期session。高级思想：在分布式系统中，如何在多个系统之间做到session的同步。目前最后一步还没有配置。1.综...

既然要做，就做的细致一点，对得起自己！shiro使用前配置：1.pom文件中引入shiro-spring集成的jar包。2.web.xml中配置shiro的过滤器,拦截所有请求。<filter> <filter-name>shiroFilter</filter-name> <filter-class>...