学习Spring Boot:(十六)使用Shiro与JWT 实现认证服务

最新推荐文章于 2025-06-21 14:09:05 发布
原创 最新推荐文章于 2025-06-21 14:09:05 发布 · 1.8w 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Boot

本文介绍了如何在Spring Boot应用中利用Shiro和JWT进行无状态认证。详细步骤包括自定义JWT拦截器,登录过程,以及JWTUtils的使用。通过JWT,服务器端不再需要保存会话状态,简化了服务端负担,同时也便于单元测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

代码可以参考
需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时access_token进行资源访问。这里我们将使用 JWT 1,基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。该密钥只有服务端知道。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。

认证步骤

  1. 客户端第一次使用用户名密码访问认证服务器,服务器验证用户名和密码,认证成功,使用用户密钥生成JWT并返回
  2. 之后每次请求客户端带上JWT
  3. 服务器对JWT进行验证
自定义 jwt 拦截器
/**
 * oauth2拦截器,现在改为 JWT 认证
 */
public class OAuth2Filter extends FormAuthenticationFilter {
   
   
    /**
     * 设置 request 的键,用来保存 认证的 userID,
     */
    private final static String USER_ID = "USER_ID";
    @Resource
    private JwtUtils jwtUtils;

    /**
     * logger
     */
    private static final Logger LOGGER = LoggerFactory.getLogger(OAuth2Filter.class);


    /**
     * shiro权限拦截核心方法 返回true允许访问resource,
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
   
   
        String token = getRequestToken((HttpServletRequest) request);
        try {
   
   
            // 检查 token 有效性
            //ExpiredJwtException JWT已过期
            //SignatureException JWT可能被篡改
            Jwts.parser().setSigningKey(jwtUtils.getSecret()).parseClaimsJws(token).getBody();
        } catch (Exception e) {
   
   
            // 身份验证失败,返回 false 将进入onAccessDenied 判断是否登陆。
            onLoginFail(response);
            return false;
        }
        Long userId = getUserIdFromToken(token);
        // 存入到 request 中,在后面的业务处理中可以使用
        request.setAttribute(USER_ID, userId);
        return true;
    }

    /**
     * 当访问拒绝时是否已经处理了;
     * 如果返回true表示需要继续处理;
     * 如果返回false表示该拦截器实例已经处理完成了,将直接返回即可。
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
   
   
        if (isLoginRequest(request, response)) {
   
   
            if (isLoginSubmission(request, response)) {
   
   
                return executeLogin(request, response);
            } else {
   
   
                return true
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot整合Shiro验证Jwt
m0_51382710的博客
11-14 432
使用SpringBoot整合Shiro对token进行校验
Springboot+Shiro+Jwt实现简单的权限控制
weixin_39158966的博客
04-24 1791
因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。书写顺序。
springboot结合shirojwt
龙泉诗
03-17 412
项目结构 增加全局异常配置 /** * @Description GlobaException 全局的异常配置 * @Author YiLong Wu * @Date 2020-03-11 22:28 * @Version 1.0.0 */ @RestControllerAdvice public class GlobalException { /** * 处理用户...
SpringBoot 登录时使用 Token
最新发布
weixin_52578852的博客
06-21 586
Service@Override// 这里应该从数据库查询用户信息// 这里为了简单,使用硬编码的用户名和密码} else {这个教程展示了如何在 SpringBoot使用 JWT 实现基于 Token 的认证。实际应用中,你可能还需要:将用户信息存储在数据库中,添加刷新 token 的功能,实现更完善的错误处理,添加更多的安全配置。
SpringBoot+Shiro+JWT
weixin_37375983的博客
11-10 1151
SpringBoot+Shiro+JWT
springboot shiro jwt整合
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
09-22 271
提示:本配置的预期读者是熟悉shiro的session配置的开发者.如果不熟悉我有其他博客关于session式,可以查看 shiro默认是以session来确权的 现在以jwt的方式使用,那么登录方法就不再subject.login,而是返回jwt字符串,我们将userid放进去. @GetMapping("login") public String login(String username,String password) throws IllegalArgumentExceptio.
spring boot 整合 shiro + jwt
实习打字猿的博客
04-18 1万+
# pom.xml <!--jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.0</version> </dependency&gt...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Spring boot整合shiro+jwt实现前后端分离
08-25
本文将介绍如何使用 Spring Boot 框架整合 ShiroJWT 实现前后端分离。 一、Shiro 简介 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会维护。Shiro 提供了身份验证、授权、会话管理、加密等功能,...
boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证
05-14
【标题】"boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证" 涉及的核心技术是将Spring Boot、Apache Shiro、Redis和JSON Web Tokens(JWT)结合,以实现一个现代化的、安全的RESTful API...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
spring boot整合shiro+jjwt
热门推荐
weixin_42755909的博客
08-05 1万+
前言 本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token) JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : ...
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 9212
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
基于SpringBoot实现Shiro整合JWT
禅与计算机程序设计的艺术
02-26 2455
在上一篇文章基于SpringBootShiro完成了对shiro整合,这一篇文章我们不妨对项目进行进一步优化,完成基于JWT优化安全校验框架的优化。调用登录接口。若登录通过,即可直接使用当前登录角色的权限调用相关接口。但是这种方式也存在着一定的局限性,由于Shiro认证后会将结果缓存在session会话中,对于分布式结构,session不共享的局限性就暴露出来了。所以为了保证一处认证,处处服务器可用,我们需要整合JWT来完善这个现有的认证逻辑。
SpringBoot+Shiro+JWT实现权限管理
segegefe的博客
04-08 2542
1.为什么使用JWT 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码对账号进行签名生成并返回token并设置过期时间; 2.将token保存到本地,并且每次发送请求时都在header上携带tok
SpringBoot整合Shiro JWT
qq_38245668的博客
04-26 2054
SpringBoot整合Shiro JWT 参考: https://www.jianshu.com/p/9b6eb3308294 https://blog.youkuaiyun.com/bicheng4769/article/details/86668209 1:概述 1.1、shiro 一个安全框架,但不只是一个安全框架。它能实现多种多样的功能。并不只是局限在web层。在国内的市场份额占比高于Spri...
SpringBoot使用ShiroJWT认证和鉴权
qq_43842093的博客
12-12 1918
最近新做的项目中使用shirojwt来做简单的权限验证,在和springboot集成的过程中碰到了不少坑。做完之后对shiro的体系架构了解的也差不多了,现在把中间需要注意的点放出来,给大家做个参考。 相对于spring security来说,shiro出来较早,框架也相对简单。后面会另起一篇文章对这两个框架做一个简单的对比。 Shiro的关注点 首先看一下shiro中需要关注的几个概念。 SecurityManager,可以理解成控制中心,所有请求最终基本上都通过它来代理转发,一般我们程序中不需要直
Spring Boot集成ShiroJWT实现Token自动刷新
- 本项目使用Spring Boot框架,通过集成Shiro安全框架和JWT技术,构建了一个安全的用户认证和授权系统。 - 通过配置Redis作为数据存储介质,项目实现了token的存储、检索和刷新功能。 - 项目中采用了JWT机制,实现了...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值