Shiro+JWT 前后端分离方案

最新推荐文章于 2025-04-13 14:51:31 发布
最新推荐文章于 2025-04-13 14:51:31 发布
阅读量8.6k 收藏 28
点赞数 9
分类专栏: Java SpringBoot/MVC 文章标签: shiro java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/twx843571091/article/details/106172593
版权

Shiro+JWT 前后端分离方案

理论的东西就不说了,网上一大堆教程。

因为我本身web应用做得比较多,所以本篇文章主要是结合SpringBoot来讲解。当然shiro也是支持standlon模式使用的(可以参考我的另一篇文章 自定义Realm)

使用SpringBoot,最优的依赖方案是shiro-spring-boot-starter

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring-boot-starter</artifactId>
  <version>1.4.0</version>
</dependency>

SpringBoot集成Shiro的思路路径是 创建配置文件-->创建过滤器-->创建Realm 。(其实也不完全正确,这几个步骤得结合起来考虑)

首先,我们来创建配置文件

ShiroConfig

SecurityManager 是Shiro的核心组件,所以得首先创建它。

DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(shiroRealm);

注意:shiroRealm是我们通过Spring Autowired自动注入的,这里的shiroRealm也就是我们自定义的realm,后面会讲到–ShiroRealm

@Autowired
private ShiroRealm shiroRealm;

因为我们是前后端分离项目,所以shiro的Session功能我们是用不到的,得把它关闭。下面代码的作用就是关闭subject session。

DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);

securityManager.setSubjectDAO(subjectDAO);

官方文档中有这么一段话介绍 securityManager.subjectDAO.sessionStorageEvaluator.sessionStorageEnabled = false

This will prevent Shiro from using a Subject’s session to store
that Subject’s state across requests/invocations/messages for all Subjects.
这将阻止Shiro使用Subject的会话存储Subject的请求/调用/消息中的状态。

Just be sure that you authenticate on every request
so Shiro will know who the Subject is for any given request/invocation/message.
一定要保证您对每个请求进行身份验证,以便于Shiro知道任何给定请求/调用/消息的subject是谁。

所以,前后端分离项目的关键是**每个请求都得交给shiro去验证身份,也就是说每个请求都会调用subject的login方法 **

继而每次请求都会调用自定义realm中的doGetAuthenticationInfo 方法。

创建SecurityManager 后,我们来创建过滤器Filter.

@Bean("shiroFilter")
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
   
  ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
  shiroFilterFactoryBean.setSecurityManager(securityManager);

  // 拦截器
  Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
  filterChainDefinitionMap.put("/doc.html", "anon");
  filterChainDefinitionMap.put("/**/*.js", "anon");
  filterChainDefinitionMap.put("/**/*.css", "anon");
  filterChainDefinitionMap.put("/**/*.html", "anon");
  filterChainDefinitionMap.put("/**/*.svg", "anon");
  filterChainDefinitionMap.put("/**/*.pdf", "anon");
  filterChainDefinitionMap.put("/**/*.jpg", "anon");
  filterChainDefinitionMap.put("/**/*.png", "anon");
  filterChainDefinitionMap.put("/**/*.ico", "anon");

  // 添加自己的过滤器并且取名为jwt
  Map<String, Filter> filterMap = new HashMap<String, Filter>(1);
  filterMap.put("jwt", new JwtFilter());
  shiroFilterFactoryBean.setFilters(filterMap);

  // <!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边
  filterChainDefinitionMap.put("/**", "jwt");

  shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
  return shiroFilterFactoryBean;
}
  • anon–表示不进行拦截,是anonymous的缩写
  • JwtFilter是我们自定义的Filter,稍候我们会创建。

Shiro可以通过@RequiresPermissions(value = {"sys:admin:get"})@RequiresRoles 细粒度的控制资源访问权限,在Spring应用中,要想使用注解的方式控制权限。还得配置以下几个java bean。

@Bean
public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
   
  return new LifecycleBeanPostProcessor();
}

/**
     * 下面的代码是添加注解支持
     * @return
     */
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
   
  DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
  defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);

  /*defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        defaultAdvisorAutoProxyCreator.setAdvisorBeanNamePrefix("_no_advisor");*/
  return defaultAdvisorAutoProxyCreator;
}

@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
   
  AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
  advisor.setSecurityManager(securityManager);
  return advisor;
}

ShiroConfig完整配置文件如下:

@Slf4j
@Configuration
public class ShiroConfig {
   

    @Autowired
    private ShiroRealm shiroRealm;
    /**
     *
     * @return
     */
    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager() {
   
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm);

        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-
         * StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);

        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }


    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
   
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/doc.html", "anon");
        filterChainDefinitionMap.put("/**/*.js", "anon");
        filterChainDefinitionMap.put("/**/*.css", "anon");
        filterChainDefinitionMap.put("/**/*.html", "anon");
        filterChainDefinitionMap.put("/**/*.svg", "anon");
        filterChainDefinitionMap.put("/**/*.pdf", "anon");
        filterChainDefinitionMap.put("/**/*.jpg", "anon");
        filterChainDefinitionMap.put("/**/*.png", "anon");
        filterChainDefinitionMap.put("/**/*.ico", "anon");

        // 添加自己的过滤器并且取名为jwt
        Map<String, Filter> filterMap = new HashMap<String, Filter>(1);
        filterMap.put("jwt", new JwtFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        // <!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边
        filterChainDefinitionMap.put("/**", "jwt");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }


    @Bean
    public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
   
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 下面的代码是添加注解支持
     * @return
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
   
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);

        /*defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        defaultAdvisorAutoProxyCreator.setAdvisorBeanNamePrefix("_no_advisor");*/
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
   
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

JwtFilter

在配置ShiroConfig时,我们提到需要配置自定义过滤器。过滤器的作用就是拦截指定的请求,比如我们在上面设置的是filterChainDefinitionMap.put("/**", "jwt"); 拦截所有请求(这里的所有指的是流入到当前过滤器的所有请求,如果是图片、字体等请求,则不会进入,因为在此之前已经被拦截了)

我们来看具体的实现吧:JwtFilter继承了BasicHttpAuthenticationFilter 类,我们只要重写几个关键的方法即可。

public class JwtFilter extends BasicHttpAuthenticationFilter {
   
    /**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
   
        try {
   
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
   
            throw new AuthenticationException("Token失效,请重新登录", e);
        }
    }

    /**
     *
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
   
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("X-Access-Token");

        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        // 普通应用中获取subject方式 subject = SecurityUtils.getSubject();
        // 然后登录 subject.login(token)
        //login方法最后会回调到ShiroRealm.doGetAuthenticationInfo
        getSubject(request, response).login(jwtToken);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
   
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
   
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }
}
  • isAccessAllowed:判断是否允许访问,内部调用executeLogin执行登录,executeLogin没有抛出异常,表示允许登录(相当于每次请求都会进行登录逻辑判断)
  • executeLogin: 从请求头中拿出token,调用subject的login方法就行登录验证(这里封装了JwtToken,[稍候讲解](### JwtToken))
  • preHandle: 跨越支持

JwtToken

JwtToken的实现很简单,但要注意两点:

  • 必须实现AuthenticationToken接口
  • 返回的Principal和Credentials是一样的,都是成员变量token

下面讲解自定义Realm时会提到这两点。

import org.apache
最低0.47元/天 解锁文章
Shiro权限框架-Springboot+Shiro+Jwt前后端分离鉴权(10)
魔法革1996
04-03 602
1、前后端分离会话问题 【1】问题追踪 ​ 前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题 【2】解决方案 ​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的token生成方案 1、用户登陆之后,获得此时会话的sessionId,使用JWT根据sessionId颁发签名并设置过期时间(与session过期时间相同)返
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
shiro前后端分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 6252
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwtjava web token,是比较成熟的token方案JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
Spring Security + JWT 实现前后端分离权限控制实战教程
最新发布
zru_9602的博客
04-13 964
Autowired@Autowiredtry {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用户名或密码错误");JWTSpring Security 的结合,可以帮助你构建一个无状态、安全、高效的前后端分离权限系统。它简化了登录状态的管理流程,提高了系统的伸缩性与并发处理能力。
前后端分离 shiro+jwt
青春不打烊的博客
12-05 556
最近在弄前后端的项目,涉及到token验证的问题,记录一下。 shiro框架是公司提前配好的,详细的可以去看下配置文档,我这边只记录一下如何配置jwt。 首先添加maven的依赖包: <dependency> <!-- JSON Web Token Support --> <groupId>i...
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
基于shiro+jwt的真正rest url权限管理,前后端分离
weixin_34128501的博客
08-08 666
代码地址如下:http://www.demodashi.com/demo/13277.html bootshiro &amp; usthe bootshiro是基于springboot+shiro+jwt的真正restful URL资源无状态认证权限管理系统的后端 usthe是restful URL资源无状态认证权限管理系统的前端,基于angular+typeScript+adminLte ...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Springboot+Shiro+jwt+Redis+Mybatis 内部Token刷新方案.zip
12-04
本项目通过整合Spring Boot、Shirojwt、Redis以及Mybatis Plus,构建了一个高效、安全且易维护的Web应用程序,为用户提供了流畅的登录和管理体验,并为开发者提供了一套完整的前后端分离解决方案。项目在设计上...
Shiro+Vue实现前后端分离项目解决方案.pdf
05-14
在进行IT项目开发过程中,使用Shiro和Vue结合的方案来进行前后端分离的项目开发是一种常见且有效的方法。Apache Shiro是一个强大的Java安全框架,它提供了一整套安全机制,包括认证、授权、会话管理以及加密等功能。...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Springboot实战:Shiro+jwt前后端分离超详细教程(附git源码下载)
dingdingdandan
05-23 2251
Springboot-cli 开发脚手架系列 文章目录Springboot-cli 开发脚手架系列简介1. Springboot实战完整教程2. 封装jwt工具3. shiroJWT整合4. 开启跨域支持5. 登录注册实战6. 效果演示7. 源码分享 简介 Springboo配置Shiro+jwt进行登录校验,权限认证,附demo演示。 什么是JWT jwt 全称JSON Web Tokens,是目前最流行的跨域身份验证解决方案。 验证流程 这种基于token的认证方式相比传统的ses
Shiro(四) Shiro+JWT实现前后端分离的权限管理
这里是阿安的博客
11-05 1670
Shiro(四) Shiro+JWT实现前后端分离的权限管理:两种实现方案...
基于JWT+shiro实现前后端分离认证
weixin_44141393的博客
05-26 642
1.引入依赖关系 <!-- 引入shiro的相关依赖 就可以不用引入springboot-web启动器了 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <ver
shiro前后端分离模式
weixin_42510217的博客
11-25 1598
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
前后端分离时后端shiro权限认证
weixin_43160956的博客
12-28 4156
参考https://my.oschina.net/sprouting/blog/3059282 简述: shiro是根据sessionID来识别是不是同一个request,但如果前后分离的话,就会出现跨域的问题,session很可能就会发生变化,这样就需要用一个标记来表明是同一个请求 1.shiro有三大组件 1.1 Subject 代表当前与程序进行交互的使用者 1.2 SecurityMana...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值