Java二阶知识点总结(九)Shiro和JWT

已于 2024-03-27 17:31:16 修改
阅读量929 收藏 18
点赞数 14
分类专栏: Java二阶知识点总结 文章标签: java 开发语言
于 2024-03-26 15:10:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44648936/article/details/137008190
版权
本文详细介绍了Shiro的三个核心组件(Subject,SecurityManager,Realm),Shiro的运行流程,以及JWT在身份验证中的作用,包括JWT的结构、Shiro与JWT的整合、单点登录流程和JWT的刷新与退出机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Shiro的三个核心组件

  • Subject:正与系统进行交互的人,或某一个第三方服务。所有 Subject 实例都被绑定到一个SecurityManager 上,其实就是用于获取外部数据的主体。
  • SecurityManager:Shiro 架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务,负责和Shiro其他组件交互
  • Realm:shiro 是从 Realm 来获取安全数据(用户,角色,权限)。就是说 SecurityManager要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据 源。

2、Shiro的运行流程

  • 首先调用Subject.login(token)进行登录,他会委托给SecurityManager
  • SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
  • Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有就返回认证失败,有的话就继续执行操作。

3、Shiro认证策略

  • AtLeastOneSuccessfulStrategy:只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功
  • FirstSuccessfulStrate
最低0.47元/天 解锁文章
java shiro jwt,Shiro+JWT 实现权限管理()--Shiro
weixin_42205158的博客
03-13 182
在之前的文章《权限框架Apache Shiro Spring Security》中有介绍一些权限框架,当时觉得Shiro功能比较强大,也比较适合管理后台不同粒度的权限控制.再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.经过搜索、研究发现一个新东西--JWT (JAVA WEB TOKEN),为了在网络应用环境声明而执行的一种基于 JS...
ShiroJWT技术
qq_67177419的博客
11-18 1604
我建议大家把密钥过期时间定义到SpringBoot配置文件中,然后再值注入到JavaBean中,这样维护起来比较方便。emos:jwt:#密钥#令牌过期时间(天)expire: 5#令牌缓存时间(天数)
ShiroJWT简介
小青龙,创造,变强
02-27 948
ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt ShiroJWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt
shiroshiro整合JWT——2.如何整合
kevin的博客
06-02 1641
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,我们知道了需要创建JwtTokenJwtUtil、JwtFilter。该篇主要讲如何在shiro框架中,配置Jwt。ps:本文主要以记录核心思路为主。
shiroshiro整合JWT——1.需要创建的类
kevin的博客
06-02 1019
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTTokenJwtTokenJWT实体类)JwtUtil (JWT工具类)JwtFilter (JWT拦截器)
Java专题_01】springboot+Shiro+Jwt整合方案
热门推荐
weixin_40736233的博客
04-02 2万+
Java专题_01】springboot+Shiro+Jwt整合方案
jwtshiro、spring-security的区别
d1018908563的博客
10-10 557
JSESSIONID 是固定的key,value 值是给该客户端新创建的 session 的 ID,之后的请求客户端会将此 key-value 放到 cookie 中一并请求服务器,服务器根据此 ID 寻找对应的 session 对象了;注意:secret 是保存在服务器端的,jwt 的签发生成也是在服务器端的,secret 就是用来进行 jwt 的签发 jwt 的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
JWTshiro结合实现认证
weixin_42564451的博客
09-04 1040
JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三个部分组成:头部(Header)、载荷(Payload)签名(Signature)。JWT的最大特点是它是自包含的,这意味着所有必要的信息都存储在令牌本身内,因此不需要查询数据库来验证用户身份。这使得JWT非常适合跨域资源共享(CORS)场景下的认证。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密会话管理功能。
Shiro认证
Mr.W的博客
10-16 557
Shiro是一个强大且灵活的Java安全框架,专注于认证、授权、加密、会话管理等功能,能够无缝集成到现有的应用程序中。相比Spring Security,Shiro的学习曲线较为平缓,配置简单自定义Realm/*** @Description: 自定义Realm*/@Resource@OverrideSystem.out.println("调用MyShiroRealm.doGetAuthorizationInfo获取权限信息");//获取权限信息。
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 9083
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录其他接口 2.7 se...
shiro jwt登录认证
05-20
该项目使用了springboot、mybaits-plus、jwtshiro、redis。mybaits-plus基本没用,只做了一次数据库查询,redis暂时不使用,登录验证成功后再追加redis操作。
Shiro + Java-JWT无状态鉴权认证机制
07-30
SpringBoot + Mybatis核心框架 PageHelper插件 + 通用Mapper插件 Shiro + Java-JWT无状态鉴权认证机制 Redis(Jedis)缓存框架
整合Shiro+Jwt
qq_57747969的博客
09-19 583
整合Shiro+Jwt大致思路
聊一聊jwt,sa-token,shiro,spring security
最新发布
qq_41577703的博客
03-04 867
特性JWTSA-TokenShiro核心功能无状态认证,信息交换轻量级认证框架,灵活扩展完整的认证、授权、会话管理框架完整的认证、授权、安全框架使用场景前后端分离、微服务架构快速集成认证、权限管理传统应用,复杂权限管理与 Spring 结合使用,复杂权限控制认证方式JWT Token自定义 Token、支持多种认证方式表单登录、JWT、OAuth2、LDAP 等集成难度低低中高扩展性高高高高。
基于JWT Shiro 做接口权限认证
ewii12567的博客
05-20 1076
自定义的权限认证身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 6167
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
Spring Security、ShiroJWT权限认证
HelloQ的博客
08-19 1万+
JWT jwt是什么? JWT又名Json Web Token,基于数字签名,定义了一个紧凑、字包含的方式,用于json在各方之间安全传输信息。 使用场景 一般用于授权认证数据交换: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小...
Shiro框架JWT
市民景先生
07-11 2996
目录shiro简介1.认证2.授权3.shiro靠什么做认证与授权JWT简介创建JWTUtil工具类令牌封装成对象AuthenticationToken类AuthorizingRealm类刷新令牌的新机制 创建存储令牌的媒介类创建过滤器创建ShiroConfigshirojava非常有名的认证与授权的框架,使用JavaEE中JAAS功能。设计简单,SpringSecurity必须使用spring项目中。核验用户身份,认证登录,登录后Shiro要记录用户成功登录的凭证比再认证更加精细度的划分用户的行为。比如
java shiro jwt_Spring Boot 最简单整合 Shiro+JWT 方式
weixin_42485489的博客
03-01 243
简介目前RESTful大多都采用JWT来做授权校验,在Spring Boot 中可以采用ShiroJWT来做简单的权限以及认证验证,在Spring Boot集成的过程中碰到了不少坑。便结合自身以及大家的常用的运用场景开发出了这个最简单的整合方式fastdep-shiro-jwt。源码地址引入依赖Mavencom.louislivi.fastdepfastdep-shiro-jwt1.0.2Gr...
SpringBoot与ShiroJWT的集成实现用户认证
综上所述,SpringBoot整合Shiro+JWT的实践涉及了现代Web应用安全架构中的多个关键知识点,包括但不限于Shiro的安全机制、JWT的使用原理以及用户身份认证授权流程。通过该实践案例,开发者可以更好地理解掌握如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值