教你 Shiro + SpringBoot 整合 JWT

最新推荐文章于 2025-07-08 00:02:37 发布
最新推荐文章于 2025-07-08 00:02:37 发布
阅读量8.2k 收藏 32
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: Java 后端 Shiro 框架 SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38132621/article/details/80216075
本文详细介绍了如何在 Shiro 和 SpringBoot 框架中集成 JWT,用于权限管理和认证。通过JWTUtil工具类生成和校验token,实现用户登录、权限控制和异常处理。文章提供源码链接,包括用户角色分类、权限注解使用,以及不同角色可访问的接口示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token)
如果对 shiro 如何整合 springBoot 还不了解的可以先去看我的上一篇文章 《教你 Shiro 整合 SpringBoot,避开各种坑》

附上源码:https://github.com/HowieYuan/shiro

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。

一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

在本项目中,我们规定每次请求时,需要在请求头中带上 token ,通过 token 检验权限,如没有,则说明当前为游客状态(或者是登陆 login 接口等)

JWTUtil

我们利用 JWT 的工具类来生成我们的 token,这个工具类主要有生成 token 和 校验 token 两个方法

生成 token 时,指定 token 过期时间 EXPIRE_TIME 和签名密钥 SECRET,然后将 date 和 username 写入 token 中,并使用带有密钥的 HS256 签名算法进行签名
“`
Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWT.create()
.withClaim(“username”, username)
//到期时间
.withExpiresAt(date)
//创建一个新的JWT,并使用给定的算法进行标记
.sign(algorithm);



# 数据库表
![user](https://user-gold-cdn.xitu.io/2018/4/30/163170f3cfc4ead0?w=399&h=91&f=png&s=6512)
role: 角色;permission: 权限;ban: 封号状态
![role](https://user-gold-cdn.xitu.io/2018/4/30/163170f3cfb5efbc?w=199&h=67&f=png&s=1138)

每个用户有对应的角色(user,admin),权限(normal,vip),而 user 角色默认权限为 normal, admin 角色默认权限为 vip(当然,user 也可以是 vip)

# 过滤器
在上一篇文章中,我们使用的是 shiro 默认的权限拦截 Filter,而因为 JWT 的整合,我们需要自定义自己的过滤器 JWTFilter,JWTFilter 继承了 BasicHttpAuthenticationFilter,并部分原方法进行了重写

该过滤器主要有三步:
1. 检验请求头是否带有 token ```((HttpServletRequest) request).getHeader("Token") != null```
2. 如果带有 token,执行 shiro 的 login() 方法,将 token 提交到 Realm 中进行检验;如果没有 token,说明当前状态为游客状态(或者其他一些不需要进行认证的接口)
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws UnauthorizedException {
    //判断请求的请求头是否带上 "Token"
    if (((HttpServletRequest) request).getHeader("Token") != null) {
        //如果存在,则进入 execute
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Boot 最简单整合Shiro+JWT方式
qq_35140728的博客
12-10 708
简介 目前RESTful大多都采用JWT来做授权校验,在Spring Boot 中可以采用ShiroJWT来做简单的权限以及认证验证,在和Spring Boot集成的过程中碰到了不少坑。便结合自身以及大家的常用的运用场景开发出了这个最简单的整合方式fastdep-shiro-jwt。 源码地址 希望大家可以star支持一下,后续还会加入其它依赖的简易整合。 https://github.com/...
简单实用! 前后端分离 shiro + springboot +mybatis+ Jwt +redis 实现权限管理
qq_40662405的博客
03-09 1283
简单实用! 前后端分离 shiro + springboot +mybatis+ Jwt 实现权限管理 ​ 之前学习了shiroJwt,就想找个项目练一下手,可是b站上没有找到前后端分离加上用shirojwt做权限控制的程。后来看到一篇文章https://blog.youkuaiyun.com/weixin_42236404/article/details/89319359,这篇文章对于shiro流程的讲解对我非常有帮助,我用mybatis 和 JWT 结合了一下这篇文章的源码。 ​ 代码地址: 1.Jwt简介
ShiroJWT集成:构建无状态认证API
最新发布
m0_65382359的博客
07-08 881
JwtToken这个的实现类只用来承载JWT字符串。@Override@OverrideJwtRealm这个Realm的核心职责不再是匹配密码,而是校验JWT的合法性。// 告诉Shiro此Realm只处理我们自定义的JwtToken@Override// 授权@Override// ... 和之前的Realm一样,从数据库获取角色和权限 ...// 认证@Override// 校验Tokenif (!// 可以在这做一些额外的校验,比如用户是否被禁用。
springboot shiro jwt整合
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
09-22 271
提示:本配置的预期读者是熟悉shiro的session配置的开发者.如果不熟悉我有其他博客关于session式,可以查看 shiro默认是以session来确权的 现在以jwt的方式使用,那么登录方法就不再subject.login,而是返回jwt字符串,我们将userid放进去. @GetMapping("login") public String login(String username,String password) throws IllegalArgumentExceptio.
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 9214
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
SpringBoot整合jwt+shiro
weixin_38064520的博客
05-22 653
话不多说,直接上代码 引入依赖如下的依赖,springboot不够构建的请先把springboot玩熟了在回来看吧。 <!-- JWT依赖 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0&l
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
在这个项目中,SpringBoot作为基础框架整合ShiroJWT、数据库和Redis等组件,提供了RESTful API的入口和处理逻辑。 **MySQL数据库** MySQL是广泛使用的开源关系型数据库,用于存储用户信息、权限规则等数据。...
基于SpringBoot+Vue+Shiro+JWT+Redis+Mybatis-Plus的Java人事管理系统设计源码
10-04
本项目采用先进的技术栈,通过整合SpringBoot、Vue、ShiroJWT、Redis和Mybatis-Plus框架,构建了一个高效、稳定的人事管理系统。 SpringBoot框架作为系统的基础,提供了一个快速开发、配置简单的Java平台,能够...
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户鉴权,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
springboot集成jwtshiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot+JWT+Shiro
jakelihua
08-20 792
本文讲解,如何用SpringBoot整合JWTShiro。对于JWTShiro的讲解看这两篇文章,本文只讲解,最后的结合的代码。
Springboot+Shiro+Jwt实现简单的权限控制
qq_66627105的博客
12-23 1261
为什么写下这篇文章?因为需要实现一个设备管理系统的权限管理模块,在查阅很多博客以及其他网上资料之后,发现重复、无用的博客很多,因此写一篇文章来记录,以便后面复习。涉及的知识点主要有下列知识点:JWTshiro书写顺序首先使用springboot 结合 jwt完成前后端分离的token认证。其次结合shiro完成shiro+jwt的前后端分离的权限认证管理。
springboot + shiro + jwt权限验证
u012203062的博客
02-28 2081
springboot + shiro + jwt权限验证快速实践
SpringBoot 项目集成 Shiro + JWT 实现用户认证与权限控制
weixin_45761011的博客
07-13 8013
SpringBoot 项目中使用 Shiro 安全框架JWT 来进行用户验证与权限控制
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值