Spring-shiro-Boot-4 存储token

最新推荐文章于 2023-03-24 09:44:08 发布
原创 最新推荐文章于 2023-03-24 09:44:08 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #redis

该博客介绍了如何在Spring Boot应用中结合Redis来存储JWT Token。内容包括Token的组成和管理,特别是如何在Java中建立数据模型,并利用Redis进行Token的存储和获取,以及如何将Token转换为Shiro的登录信息UsernamePasswordToken。

这节主要讲用redis存储token,跟shiro基本上没有关系。

但是与是使用shiro做无状态管理所需要的。

一、token组成:

(1)在redis中存储

[key]    tokens:UUID-key
[value]  usernamePasswordToken的JSON字符串
[expire] 过期时间

(2)在java中的数据模型

public class Token implements Serializable {

	private static final long serialVersionUID = 4043470238789599973L;
	private String token;
	private Date expireTime;

	public Token(String token, Date expireTime) {
		super();
		this.token = token;
		this.expireTime = expireTime;
	}

}

二、token管理

用户通过redis获取token对应的登录信息。

public interface TokenManager {
	Token saveToken(UsernamePasswordToken token);
	UsernamePasswordToken getToken(String key);
	boolean deleteToken(String key);
}

实现类的具体方法:

(1)存储token

	public Token saveToken(UsernamePasswordToken usernamePasswordToken) {
		String key = UUID.randomUUID().toString();
		
        redisTemplate.opsForValue().
               set(TOKEN_PREFIX + key, 
                   JSONObject.toJSONString(usernamePasswordToken),
				   expireSeconds, 
                   TimeUnit.SECONDS);

		return new Token(key, DateUtils.addSeconds(new Date(), expireSeconds));
	}

(2)获取token

将token转化为shiro登录信息:UsernamePasswordToken

public UsernamePasswordToken getToken(String key) {

		String json = redisTemplate.opsForValue().get(TOKEN_PREFIX + key);
		if (!StringUtils.isEmpty(json)) {
			UsernamePasswordToken usernamePasswordToken = 
            JSONObject.parseObject(json, UsernamePasswordToken.class);

			return usernamePasswordToken;
		}
		return null;
	}

shiro将session认证改成token认证_源码分析shiro认证授权流程
weixin_31286719的博客
01-12 642
1. shiro介绍Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。2. shiro源码概况...
shiro框架如何保持登录状态
weixin_40835745的博客
12-17 4400
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、shiro保持登录状态的方式?二、具体过程1.登录系统2.关闭浏览器3.登出系统4.RememberMe功能总结 前言 最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么 一、shiro保持登录状态的方式? 现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请
springboot shiro 实现token
m0_67392409的博客
04-08 1249
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
shiro - 使用 token
bhegi_seg的博客
03-28 1367
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
spring-boot-shiro-demo
04-22
Spring Boot整合Shiro实战详解】 在现代Java后端开发中,Spring Boot因其简洁的配置和强大的集成能力而被广泛采用。而Shiro作为一款轻量级的安全框架,提供了身份认证、授权、会话管理和安全控制等功能。本项目...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,...
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路.
05-24
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO 测试地址 admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单...
Spring-shiro-Boot-3 AuthenticationToken体系
良之才的专栏
03-11 1052
登陆认证时,必须要先构造登陆令牌。 在是shiro中,用AuthenticationToken接口来表达登陆令牌。 这里介绍shiro的AuthenticationToken体系,在实际使用中,很多时候需要继承原有令牌实现私有化功能。 一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】
springboot使用shiro完成token认证
lovely960823的博客
03-15 2851
现在都是token无状态的认证,今天记录一下如何使用shiro完成token登录认证,话不多说,直接上代码 依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </depend
springboot+shiro实现token访问后台以及授权
qq_30815659的博客
12-28 1万+
先配置shiro: package com.wang.Auth; import org.apache.shiro.mgt.DefaultSessionStorageEvaluator; import org.apache.shiro.mgt.DefaultSubjectDAO; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.LifecycleBeanPostProcessor; import or
Shiro框架的授权实现源码分析之登录身份信息保存
smalllongonline的专栏
08-24 1282
Shiro框架的授权实现源码分析之登录身份信息保存
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
008-shiro使用token认证
这个需求,做不了
05-25 8758
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
shiro登陆成功保存用户信息到session
m0_67400972的博客
03-28 1193
[导读]我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢? 我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢?其实很简单 第一步:写一个类CustomFormAuthenticationFilter继承FormAuthenticationFilter,并重写onLoginSuccess方法,以下是我的实现@Override protectedbooleanonLoginSucces
基于shiro权限的Redis简单应用-用户免登陆
J1271820107的博客
03-24 708
logger.error("Redis hset(String key, String field, Object value, int expire)失败 "+ key +" :field ["+ field +"]" + e);logger.error("Redis hget(String key, String field)失败 "+ key +" :field ["+ field +"]" + e);//System.out.println("剩余时间:" + timeOut);
SpringBoot+Vue整合Token(自我学习记录)
ltp0317的博客
05-24 1253
SpringBoot+Vue整合Token(自我学习记录)
spring-boot-shiro-starter
最新发布
12-27
### 如何在Spring Boot中使用shiro-spring-boot-web-starter进行权限管理 #### 添加依赖 为了使项目能够利用Shiro的功能,需先引入`shiro-spring-boot-web-starter`作为Maven项目的依赖项。具体来说,在`pom.xml`文件内加入如下片段: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 此操作确保了应用程序具备必要的组件来进行基于角色的安全控制[^2]。 #### 创建自定义Realm 实现身份验证和授权的核心在于创建继承自`AuthorizingRealm`的具体类——即所谓的“领域”。此类负责处理用户的认证信息以及其对应的权限集合。例如: ```java public class UserRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现获取用户的角色和权限逻辑... SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken)token; String username = upToken.getUsername(); // 基于用户名查询数据库或其他存储介质中的密码并返回相应的认证信息对象 Object principal = ... ;// 用户名或其它唯一标识符 Object credentials = ...;// 密码哈希值 return new SimpleAuthenticationInfo(principal, credentials, getName()); } } ``` 这段代码展示了如何构建一个简单的`UserRealm`实例用于模拟实际场景下的数据访问过程[^3]。 #### 注册SecurityManager Bean 为了让Shiro接管整个应用的安全策略,还需注册一个全局唯一的`SecurityManager`bean,并将其关联至之前定义好的`UserRealm`: ```java @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(UserRealm userRealm){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); return securityManager; } } ``` 上述配置使得每次请求到达服务器端时都会经过由`DefaultWebSecurityManager`所维护的一系列安全过滤器链路,从而实现了细粒度的访问控制机制。 #### 控制器层面的应用 当涉及到RESTful API接口设计时,如果前端发送的数据格式为JSON,则应在控制器方法签名处声明接收实体类型的参数,并加上`@RequestBody`注解以便正确解析传入的内容体。比如执行登录动作可能像这样编写: ```java @RestController @RequestMapping("/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request){ Subject currentUser = SecurityUtils.getSubject(); try{ UsernamePasswordToken token = new UsernamePasswordToken(request.getUsername(),request.getPassword().toCharArray()); currentUser.login(token); Map<String,Object> resultMap=new HashMap<>(); resultMap.put("success",true); resultMap.put("message","登陆成功"); return ResponseEntity.ok(resultMap); }catch(Exception e){ throw new RuntimeException(e.getMessage()); } } } ``` 这里的关键点在于理解何时应该采用何种HTTP Content-Type头字段来指示客户端提交给服务端的数据编码形式;对于JSON而言,默认情况下会自动映射到Java POJO上,前提是已正确定义好相应模型类结构[^5]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良之才-小良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值