教你 Shiro + SpringBoot 整合 JWT

简介: 教你 Shiro + SpringBoot 整合 JWT

本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token)


如果对 shiro 如何整合 springBoot 还不了解的可以先去看我的上一篇文章 《教你 Shiro 整合 SpringBoot,避开各种坑


本文的示例代码:https://github.com/HowieYuan/shiro


JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。


我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。

一个完整的 Token : eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM


在本项目中,我们规定每次请求时,需要在请求头中带上 token ,通过 token 检验权限,如没有,则说明当前为游客状态(或者是登陆 login 接口等)


JWTUtil

我们利用 JWT 的工具类来生成我们的 token,这个工具类主要有生成 token 和 校验 token 两个方法。


生成 token 时,指定 token 过期时间 EXPIRE_TIME 和签名密钥 SECRET,然后将 date 和 username 写入 token 中,并使用带有密钥的 HS256 签名算法进行签名

Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWT.create()
  .withClaim("username", username)   //到期时间
  .withExpiresAt(date)   //创建一个新的JWT,并使用给定的算法进行标记
  .sign(algorithm);


数据库表


image.png


role: 角色;permission: 权限;ban: 封号状态


image.png


每个用户有对应的角色(user,admin),权限(normal,vip),而 user 角色默认权限为 normal, admin 角色默认权限为 vip(当然,user 也可以是 vip)


过滤器

在上一篇文章中,我们使用的是 shiro 默认的权限拦截 Filter,而因为 JWT 的整合,我们需要自定义自己的过滤器 JWTFilter,JWTFilter 继承了 BasicHttpAuthenticationFilter,并部分原方法进行了重写。


该过滤器主要有三步:

1.检验请求头是否带有 token ((HttpServletRequest) request).getHeader("Token") != null。


2.如果带有 token,执行 shiro 的 login() 方法,将 token 提交到 Realm 中进行检验;如果没有 token,说明当前状态为游客状态(或者其他一些不需要进行认证的接口)

@Override
   protected boolean isAccessAllowed(ServletRequest request, ServletResponse response,
                              Object mappedValue) throws UnauthorizedException {        
   //判断请求的请求头是否带上 "Token"
       if (((HttpServletRequest) request).getHeader("Token") != null) {            
       //如果存在,则进入 executeLogin 方法执行登入,检查 token 是否正确
           try {
               executeLogin(request, response);                return true;
           } catch (Exception e) {                //token 错误
               responseError(response, e.getMessage());
           }
       }        //如果请求头不存在 Token,则可能是执行登陆操作或者是游客状态访问,无需检查 token,直接返回 true
       return true;
   }    @Override
   protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
       HttpServletRequest httpServletRequest = (HttpServletRequest) request;
       String token = httpServletRequest.getHeader("Token");
       JWTToken jwtToken = new JWTToken(token);        
       // 提交给realm进行登入,如果错误他会抛出异常并被捕获
       getSubject(request, response).login(jwtToken);        
       // 如果没有抛出异常则代表登入成功,返回true
       return true;
   }

3.如果在 token 校验的过程中出现错误,如 token 校验失败,那么我会将该请求视为认证不通过,则重定向到 /unauthorized/**


另外,我将跨域支持放到了该过滤器来处理。


Realm 类

依然是我们的自定义 Realm ,对这一块还不了解的可以先看我的上一篇 shiro 的文章。


身份认证

if (username == null || !JWTUtil.verify(token, username)) {    
      throw new AuthenticationException("token认证失败!");
}
String password = userMapper.getPassword(username);if (password == null) {    
      throw new AuthenticationException("该用户不存在!");
}int ban = userMapper.checkUserBanStatus(username);if (ban == 1) {    
   throw new AuthenticationException("该用户已被封号!");
}

拿到传来的 token ,检查 token 是否有效,用户是否存在,以及用户的封号情况。


权限认证

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//获得该用户角色
String role = userMapper.getRole(username);
//每个角色拥有默认的权限
String rolePermission = userMapper.getRolePermission(username);
//每个用户可以设置新的权限
String permission = userMapper.getPermission(username);
Set<String> roleSet = new HashSet<>();
Set<String> permissionSet = new HashSet<>();
//需要将 role, permission 封装到 Set 作为 info.setRoles(), info.setStringPermissions() 的参数
roleSet.add(role);
permissionSet.add(rolePermission);
permissionSet.add(permission);
//设置该用户拥有的角色和权限
info.setRoles(roleSet);
info.setStringPermissions(permissionSet);

利用 token 中获得的 username,分别从数据库查到该用户所拥有的角色,权限,存入 SimpleAuthorizationInfo 中。


ShiroConfig 配置类

设置好我们自定义的 filter,并使所有请求通过我们的过滤器,除了我们用于处理未认证请求的 /unauthorized/**

@Bean
public ShiroFilterFactoryBean factory(SecurityManager securityManager) {
   ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
   // 添加自己的过滤器并且取名为jwt
   Map<String, Filter> filterMap = new HashMap<>();
   //设置我们自定义的JWT过滤器
   filterMap.put("jwt", new JWTFilter());
   factoryBean.setFilters(filterMap);
   factoryBean.setSecurityManager(securityManager);
   Map<String, String> filterRuleMap = new HashMap<>();
   // 所有请求通过我们自己的JWT Filter
   filterRuleMap.put("/**", "jwt");
   // 访问 /unauthorized/** 不通过JWTFilter
   filterRuleMap.put("/unauthorized/**", "anon");
   factoryBean.setFilterChainDefinitionMap(filterRuleMap);
   return factoryBean;
}


权限控制注解

@RequiresRoles, @RequiresPermissions,这两个注解为我们主要的权限控制注解, 如

// 拥有 admin 角色可以访问
@RequiresRoles("admin")
// 拥有 user 或 admin 角色可以访问
@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})
// 拥有 vip 和 normal 权限可以访问
@RequiresPermissions(logical = Logical.AND, value = {"vip", "normal"})
// 拥有 user 或 admin 角色,且拥有 vip 权限可以访问
@GetMapping("/getVipMessage")
@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})
@RequiresPermissions("vip")
public ResultMap getVipMessage() {
   return resultMap.success().code(200).message("成功获得 vip 信息!");
}

当我们写的接口拥有以上的注解时,如果请求没有带有 token 或者带了 token 但权限认证不通过,则会报 UnauthenticatedException 异常,但是我在 ExceptionController 类对这些异常进行了集中处理

@ExceptionHandler(ShiroException.class)
public ResultMap handle401() {
   return resultMap.fail().code(401).message("您没有权限访问!");
}


这时,出现 shiro 相关的异常时则会返回

{
   "result": "fail",
   "code": 401,
   "message": "您没有权限访问!"
}

除了以上两种,还有 @RequiresAuthentication ,@RequiresUser 等注解。


功能实现

用户角色分为三类,管理员 admin,普通用户 user,游客 guest;admin 默认权限为 vip,user 默认权限为 normal,当 user 升级为 vip 权限时可以访问 vip 权限的页面。

具体实现可以看源代码(开头已经给出地址)


登陆

登陆接口不带有 token,当登陆密码,用户名验证正确后返回 token。

@PostMapping("/login")
public ResultMap login(@RequestParam("username") String username,
                      @RequestParam("password") String password) {
   String realPassword = userMapper.getPassword(username);
   if (realPassword == null) {
       return resultMap.fail().code(401).message("用户名错误");
   } else if (!realPassword.equals(password)) {
       return resultMap.fail().code(401).message("密码错误");
   } else {
       return resultMap.success().code(200).message(JWTUtil.createToken(username));
   }
}


{
   "result": "success",
   "code": 200,
   "message": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1MjUxODQyMzUsInVzZXJuYW1lIjoiaG93aWUifQ.fG5Qs739Hxy_JjTdSIx_iiwaBD43aKFQMchx9fjaCRo"
}


异常处理

// 捕捉shiro的异常
   @ExceptionHandler(ShiroException.class)
   public ResultMap handle401() {
       return resultMap.fail().code(401).message("您没有权限访问!");
   }
   // 捕捉其他所有异常
   @ExceptionHandler(Exception.class)
   public ResultMap globalException(HttpServletRequest request, Throwable ex) {
       return resultMap.fail()
               .code(getStatus(request).value())
               .message("访问出错,无法访问: " + ex.getMessage());
   }


权限控制

UserController(user 或 admin 可以访问)

在接口上带上 @RequiresRoles(logical = Logical.OR, value = {"user", "admin"})

  • vip 权限
    再加上@RequiresPermissions("vip")


AdminController(admin 可以访问)

在接口上带上 @RequiresRoles("admin")


GuestController(所有人可以访问)

不做权限处理


测试结果


image.png



image.pngimage.png

image.png


image.png


image.png


image.png


image.png

相关文章
|
1月前
|
JSON 安全 算法
|
1月前
|
安全 Java 数据库
shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个)
这篇文章是关于Apache Shiro权限管理框架的详细学习指南,涵盖了Shiro的基本概念、认证与授权流程,并通过Spring Boot测试模块演示了Shiro在单应用环境下的使用,包括与IniRealm、JdbcRealm的集成以及自定义Realm的实现。
45 3
shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个)
|
1月前
|
存储 安全 Java
|
1月前
|
NoSQL Java Redis
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
这篇文章介绍了如何使用Spring Boot整合Apache Shiro框架进行后端开发,包括认证和授权流程,并使用Redis存储Token以及MD5加密用户密码。
31 0
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
|
21天前
|
JavaScript NoSQL Java
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
34 0
|
JSON 算法 安全
SpringBoot从入门到精通(三十四)如何集成JWT实现Token验证
近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。接下来介绍如何在Spring Boot项目中集成JWT实现Token验证。
SpringBoot从入门到精通(三十四)如何集成JWT实现Token验证
|
JSON 算法 Java
SpringBoot集成JWT实现token验证
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。
3828 0
|
Java
Java:SpringBoot集成JWT实现token验证
Java:SpringBoot集成JWT实现token验证
216 0
Java:SpringBoot集成JWT实现token验证
|
1月前
|
JavaScript 安全 Java
如何使用 Spring Boot 和 Ant Design Pro Vue 实现动态路由和菜单功能,快速搭建前后端分离的应用框架
本文介绍了如何使用 Spring Boot 和 Ant Design Pro Vue 实现动态路由和菜单功能,快速搭建前后端分离的应用框架。首先,确保开发环境已安装必要的工具,然后创建并配置 Spring Boot 项目,包括添加依赖和配置 Spring Security。接着,创建后端 API 和前端项目,配置动态路由和菜单。最后,运行项目并分享实践心得,包括版本兼容性、安全性、性能调优等方面。
158 1
|
25天前
|
JavaScript 安全 Java
如何使用 Spring Boot 和 Ant Design Pro Vue 构建一个具有动态路由和菜单功能的前后端分离应用。
本文介绍了如何使用 Spring Boot 和 Ant Design Pro Vue 构建一个具有动态路由和菜单功能的前后端分离应用。首先,创建并配置 Spring Boot 项目,实现后端 API;然后,使用 Ant Design Pro Vue 创建前端项目,配置动态路由和菜单。通过具体案例,展示了如何快速搭建高效、易维护的项目框架。
97 62
下一篇
无影云桌面