测试平台开发(一)鉴权模块7 Shiro基于JWT的认证

最新推荐文章于 2025-03-14 08:30:00 发布
最新推荐文章于 2025-03-14 08:30:00 发布
阅读量914 收藏 10
点赞数 26
分类专栏: 质量保障体系 文章标签: java 开发语言 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39477393/article/details/143643808
版权

Shiro简介

Apache Shiro 是一个强大且易用的 Java 安全框架,主要用于身份认证、授权、加密和会话管理。它的设计目标是简化安全性的实现,使开发者能够更专注于业务逻辑。以下是 Shiro 的主要作用和功能:

1. 身份认证(Authentication)
用户登录:Shiro 提供了简单而强大的 API 来处理用户登录。你可以通过 Subject 对象调用 login 方法来验证用户的身份。
多方式认证:Shiro 支持多种形式的认证,包括用户名/密码、证书、OpenID 等。
自定义认证:你可以通过实现自定义的 Realm 来扩展 Shiro 的认证功能,以适应不同的认证需求。
2. 授权(Authorization)
权限管理:Shiro 提供了细粒度的权限管理功能,可以基于角色、权限字符串等方式进行授权。
访问控制:Shiro 支持 URL 访问控制、方法级别的访问控制等,可以灵活地控制用户对资源的访问。
注解支持:Shiro 提供了注解支持,如 @RequiresRoles、@RequiresPermissions 等,可以在代码中方便地进行权限检查。
3. 会话管理(Session Management)
无状态会话:Shiro 支持无状态会话,适用于分布式系统和无状态应用,如使用 JWT 进行身份验证。
会话集群:Shiro 可以将会话信息存储在集群中,确保会话的一致性和可用性。
会话监听:Shiro 提供了会话监听器,可以监控会话的创建、更新和销毁事件。
4. 加密(Cryptography)
密码加密:Shiro 提供了多种密码加密算法,如 SHA-256、MD5 等,确保用户密码的安全。
对称加密:Shiro 支持对称加密算法,如 AES,用于保护敏感数据。
哈希和盐:Shiro 提供了哈希和盐的功能,可以增强密码的安全性。
5. Web 支持
过滤器:Shiro 提供了 ShiroFilter,可以轻松地集成到 Web 应用中,进行 URL 访问控制。
标签库:Shiro 提供了 JSP 标签库,可以在页面中进行权限检查和显示不同的内容

1、引入shiro的maven依赖包

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.5</version>
            <scope>compile</scope>
            <exclusions>
                <exclusion>
                    <artifactId>commons-beanutils</artifactId>
                    <groupId>commons-beanutils</groupId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.5</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.5</version>
        </dependency>

2、使用token自动登录

1)使用身份验证过滤器BasicHttpAuthenticationFilter,验证用户是否为登录状态,接口调用时生效;

      如果为否执行登录,登录失败会返回401错误。

public class JWTFilter extends BasicHttpAuthenticationFilter {
    /**
     * 检查用户是否登录
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        // 验证请求头中是否存在Authorization字段,不存在则返回false
        String header = req.getHeader(SecurityUtils.REQUEST_AUTH_HEADER);
        return header != null;
    }
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String header = req.getHeader(SecurityUtils.REQUEST_AUTH_HEADER);
        // 执行登录时需要传入token,因此要传入一个AuthenticationToken对象
        JWTTokenDto jwtTokenDto = new JWTTokenDto();
        jwtTokenDto.setToken(header);
        getSubject(request,response).login(jwtTokenDto);
        return true;
    }
    /**
     * 是否允许登录
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        boolean loginAttempt = isLoginAttempt(request, response);
        if (loginAttempt){
            executeLogin(request,response);
            return true;
        }
        // 如果未登录状态,则返回401错误
        response401(response);
        return true;
    }
    private Boolean response401(ServletResponse response){
        HttpServletResponse res = (HttpServletResponse) response;
        res.setStatus(HttpStatus.UNAUTHORIZED.value());
        res.setCharacterEncoding("UTF-8");
        response.setContentType("application/json;charset=utf-8");
        PrintWriter out = null;
        try {
            out = res.getWriter();
            out.append(JSON.toJSONString(ResponseFactory.getError(ResponseCode.please_login)));
            out.flush();
        } catch (IOException e) {
            throw new RuntimeException(e);
        }finally {
            if (out != null){
                out.close();
            }
        }
        return false;
    }
}

2)登录的方式是使用token进行登录,因此需要定义token类

public class JWTTokenDto implements AuthenticationToken {
    private String token;

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

3、配置shiro拦截规则

shiro规则使用@Configuration注解,作为组件在启动时配置,加载以下三个部件:

①shiroFilter定义的URI过滤规则

②securityManager定义的安全会话规则

③指定JWTRealm()实现的鉴权规则

@Configuration
public class ShiroConfig {
    /**
     * 定义权限,启动时加载shiro拦截器
     * @Qualifier注解用来指定需要的bean
     * @param manager
     * @return
     */
    @Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager")SecurityManager manager){
        // 定义拦截规则,此处加载了https的规则、以及JWT使用token进行验证的规则
        Map<String, Filter> filterMap = new HashMap<>();
        // https的规则,定义过滤器名称为ssl
        filterMap.put("ssl",new SslFilter());
        // 配置规则名称为jwt,定义过滤器名称为jwt
        filterMap.put("jwt",new JWTFilter());

        // 设定不需要拦截的规则,加入到这个规则的URI不会拦截
        LinkedHashMap<String,String> filterRules = new LinkedHashMap<>();
        // 匹配规则:模糊匹配用**,anon代表匿名访问,用anon标记规则不需要身份验证
        filterRules.put("/swagger**","anon");
        filterRules.put("/swagger-ui/**","anon");
        // 把登录接口驾到过滤规则中,不然登录也会提示401
        filterRules.put("/api/auth/tokens","anon");
        filterRules.put("/api/auth/regist","anon");
        filterRules.put("/api/auth/401","anon");
        // 设置需要拦截的规则,所有接口都会被拦截,拦截规则为jwt规则,即前面定义的JWTFilter()
        filterRules.put("/**","jwt");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setFilters(filterMap);
        // 设置安全事务管理器,使用@Qualifier("securityManager")进行了指定
        shiroFilterFactoryBean.setSecurityManager(manager);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterRules);
        // 设置login地址
        shiroFilterFactoryBean.setLoginUrl("/course/login");
        // 设置没有登录的地址
        shiroFilterFactoryBean.setUnauthorizedUrl("/course/401");
        return shiroFilterFactoryBean;
    }

    // 配置核心安全事务管理器
    @Bean(name = "securityManager")
    public SecurityManager securityManager(){
        // 禁用会话存储,意味着shiro不会把用户的会话信息存储在内存中
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        // 设置SubjectDAO禁用会话存储,Subject代表当前安全上下文,DAO代码访问安全信息的接口
        DefaultSubjectDAO defaultSubjectDAO = new DefaultSubjectDAO();
        defaultSubjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setSubjectDAO(defaultSubjectDAO);
        // jwtRealm用于处理JWT的认证和授权,setRealm后会让shiro用该realm进行身份认证
        manager.setRealm(jwtRealm());
        return manager;
    }

    @Bean(name = "jwtRealm")
    public JWTRealm jwtRealm(){
        JWTRealm jwtRealm = new JWTRealm();
        return jwtRealm;
    }
}

4、配置AuthorizingRealm鉴权规则

AuthorizingRealm中的doGetAuthenticationInfo,主要用途是实现具体的身份验证逻辑。当用户尝试登录或访问需要身份验证的资源时,框架会调用这个方法来验证用户的身份。

supports则用来定义doGetAuthenticationInfo是否执行,supports返回true则执行,否则不执行。

public class JWTRealm extends AuthorizingRealm {
    @Autowired
    private UserServiceImp userService;

    @Override
    public boolean supports(AuthenticationToken token) {
        // token是否属于JWTTokenDto,属于则启用下面的鉴权规则
        return token instanceof JWTTokenDto;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 从uri中取出token
        String token = (String)authenticationToken.getCredentials();
        // 从token中取出username
        String userAccount = JWTUtils.getUserAccount(token);
        // 从数据库查询该用户名是否存在
        UserEntity user = userService.getUserByAccount(userAccount);
        if (user == null){
            throw new ServiceException(ResponseCode.please_login);
        }
        // 判断用户状态是否已经停用
        if ("-1".equals(String.valueOf(user.getUserStatus()))){
            throw new ServiceException(ExceptionCodeEnum.user_disable);
        }
        // 判断用户名密码错误
        if (!JWTUtils.verify(token,userAccount,user.getPassword())){
            throw new ServiceException(ExceptionCodeEnum.user_password_error);
        }

        SimpleAuthenticationInfo jwtRealm = new SimpleAuthenticationInfo(token, token, "JwtRealm");
        return jwtRealm;
    }
}

代码中调用了JWTUtils.getUserAccount、JWTUtils.verify,代码如下:

    public static String getUserAccount(String token){
        try {
            // 解码token获得用户名
            DecodedJWT decode = JWT.decode(token);
            // claim是token中的声明信息
            return decode.getClaim(SecurityUtils.ACCOUNT).asString();
        } catch (JWTDecodeException exception){
            // 解析失败,返回空
            return null;
        }
    }

    public static boolean verify(String token,String account,String pwd){
        try{
            // 使用HMAC256算法创建一个加密算法对象,密钥为传入的密码pwd。
            Algorithm algorithm = Algorithm.HMAC256(pwd);
            // 使用当前用户名和算法对象,构建一个JWT验证器,用来验证传入的token
            JWTVerifier jwtVerifier = JWT.require(algorithm).withClaim(SecurityUtils.ACCOUNT, account).build();
            // verify(token)方法会检查令牌的签名、过期时间以及声明(Claim)
            // 如果一切正常,会返回一个DecodedJWT对象,如果验证失败,会抛出相应的异常。
            DecodedJWT verify = jwtVerifier.verify(token);
            return true;
        }catch (Exception e){
            return false;
        }
    }
Shiro认证流程和流程
qq_35987642的博客
09-01 753
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
SpringBoot+Shiro+JWT实现「登录认证」和「限校验」
m0_74255195的博客
02-09 1051
shiro + jwt 实现认证
Shiro方式
不忘初心,方能始终。
02-25 1万+
、 怎么用 Shiro 支持三种方式的授 编程式:通过写 if/else 授代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有限 } else { //无限 } 注解式:通过在执行的 Java 方法上放置相应的注解完成: @Require...
Shiro认证-超详细,看这篇就够了
最新发布
小Ti博客
03-14 954
Shiro是apache旗下的个开源安全框架,它可以帮助我们完成身份认证,授、加密、会话管理等功能。易于理解的API简单的身份认证,支持多种数据源简单的授简单的加密API支持缓存,以提升应用程序的性能内置会话管理,适用于Web以及非Web的环境不跟任何的框架或者容器捆绑,可以独立运行使用dbcRealm认证时,数据库表名、字段名、认证逻辑都不能改变,我们可以自定义 Realm进行更灵活的认证。编写自定义Realm@Autowired//自定义认证方法。
shiro认证
qq_41617261的博客
08-10 1219
shiro框架 shiro:强大且易用的Java安全框架,执行身份验证、授、密码和会话管理 Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心 脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授、及会 话、缓存的管理。 Authenticator:认证器,负
Shiro认证的流程
web13985085406的博客
08-24 1418
Realm: 域,shiro从Realm获取安全数据(如用户、角色、),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;8.认证器Authenticator会拿到传入token中的password和返回认证信息对象SimpleAuthenticationInfo中的password进行比对,如果不致则抛出异常.4.然后判断用户的角色/限集合中是否包含当前判断的限,如果包含返回true,否则返回false.
SpringBoot中使用ShiroJWT认证
qq_43842093的博客
12-12 1894
最近新做的项目中使用了shirojwt来做简单的限验证,在和springboot集成的过程中碰到了不少坑。做完之后对shiro的体系架构了解的也差不多了,现在把中间需要注意的点放出来,给大家做个参考。 相对于spring security来说,shiro出来较早,框架也相对简单。后面会另起篇文章对这两个框架做个简单的对比。 Shiro的关注点 首先看shiro中需要关注的几个概念。 SecurityManager,可以理解成控制中心,所有请求最终基本上都通过它来代理转发,般我们程序中不需要直
使用SpringBoot、Mybatis-Plus、ShiroJWT等技术实现宿舍管理系统,实现了限管理、数据字典、宿舍、宿
02-24
、系统管理 系统管理模块对用户、角色、资源管理,实现限分配。对系统日志管理,对系统的操作的日志记录查看。 1.用户管理(CRUD、用户关联角色、用户关联资源) 功能按钮 新增 编辑 删除 启用 禁用 角色 ...
测试平台开发模块6 TOKEN生成
weixin_39477393的博客
11-07 253
1、生成tokenJWT是json web token的缩写,其作用就是用来生成token。用户登录成功后,将密码做运算得到token,token被用于系统访问的限控制,由于token存在用户就不需要每调用个接口都输入次密码。① 首先指定生成token所用的算法为HMAC256② 然后使用JWT工具,根据所用算法生成签名,并与account和userId绑定,并指定过期时间2、写入header。
Shiro+Jwt+Redis
qq_43907296的博客
05-27 993
​ 而JWT(全称:Json Web Token)种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
springcloud微服务体系()— 基于security和jwt实现认证服务
热门推荐
BecauseSy的博客
05-22 2万+
文章目录知识点讲解具体实现、业务流程 知识点讲解 传统的单体应用体系下,应用是个整体,般针对所有的请求都会进行限校验。请求般会通过限的拦截器进行限的校验,在登录时将用户信息缓存到 session 中,后续访问则从缓存中获取用户信息 但在微服务架构下,个应用会被拆分成若干个微应用,每个微应用都需要对访问进行,每个微应用都需要明确当前访问用户以及其限。尤其当访问来源不只是浏览...
SpringBoot搭建的shiro的最简单的登录demo(绝对可用)
09-04
直接把项目导入idea就能打开使用,该项目在简单实现shiro登录的基础上,还实现了接收数据的统加工处理模块,在接收post或者get请求后,能返回固定模板格式的json数据给前端,对于初期的学习与应用很有帮助。对了数据库需要自己布置下,有问题的话可以给我留言
springboot shiro jwt实现认证和授
myli92的博客
03-16 2875
springboot shiro jwt实现认证和授
【应用】SpringBoot -- Shiro 实现认证
情绪瓜皮皮丶的学习之路
09-24 1347
SpringBoot 中使用 Shiro 框架实现账号认证
shiro学习和使用实例(3)——
siqilou的专栏
03-02 4256
账号登陆成功跳转到首页时,我们要对当前账号,通过判断账号是否具有某项操作的限,来决定是否对当前登陆账号显示该操作的页面菜单、按钮或链接。当我们加载首页的时候,通过js将页面所有菜单的标识、限发送到服务端,服务端调用shiro的isPermitted(String permission)从缓存中获取当前账号的限信息(登陆成功后已将当前账号的最新限信息放到缓存中了),如果缓存中没有,shiro会远程从数据库中获取。isPermitted(String permission)把从缓存中获取的限和页面
Shiro框架:Shiro用户访问控制流程-内置过滤器方式源码解析
博客园
01-18 2091
Shiro作为款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下个核心流程---用户访问控制流程进行源码解析;
shiro认证、授
qq_37697436的博客
08-09 401
SecurityManager是Shiro的核心组件,负责管理所有的Subject,以及执行认证和授的操作。在上面的示例中,我们首先创建了个SecurityManager,并设置了个Realm用于认证。在Shiro中,可以使用不同的方式进行,例如基于URL的、基于方法的等。在Shiro中,可以使用不同的方式进行授,例如基于角色的授、基于限的授等。在Shiro中,可以使用不同的方式进行认证,例如基于用户名和密码的认证、基于证书的认证等。首先,让我们来了解Shiro的基本概念。
Shiro【散列算法、Shiro会话、退出登录 、限表设计、注解配置()-全面详解(学习总结---从入门到深化)
07-12 844
Shiro【散列算法、Shiro会话、退出登录 、限表设计、注解配置()-全面详解(学习总结---从入门到深化)
Shiro源码分析(十)——流程
MIKE2333的博客
12-26 427
2021SC@SDUSC
递归求二叉树最大深度C语言
09-27
递归是种常见的解决二叉树问题的方法,特别是计算其最大深度。在C语言中,我们可以定义个函数来递归地找到给定二叉树的最大深度。这里是个简单的例子: ```c #include <stdio.h> #include <stdlib.h> // 定义二叉树节点结构体 typedef struct TreeNode { int val; struct TreeNode *left; struct TreeNode *right; } TreeNode; // 计算二叉树最大深度的辅助函数 int maxDepthHelper(TreeNode* root, int depth) { if (root == NULL) { // 如果遇到空节点,返回当前深度 return depth; } // 递归地计算左子树和右子树的最大深度,并取较大值 return MAX(maxDepthHelper(root->left, depth + 1), maxDepthHelper(root->right, depth + 1)); } // 主函数,获取并打印最大深度 int maxDepth(TreeNode* root) { if (root == NULL) { return 0; // 空树的最大深度为0 } else { return maxDepthHelper(root, 1); // 起始深度设为1 } } int main() { // 创建示例二叉树... // ... TreeNode* root = ...; int depth = maxDepth(root); printf("二叉树的最大深度是: %d\n", depth); return 0; } ``` 在这个代码中,`maxDepthHelper` 函数是递归的核心部分,它会直递归到叶子节点,然后返回从根到叶子节点的最长路径长度。主函数`maxDepth`则是外部的入口点,负责创建树实例并调用辅助函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值